http://vochat.com/ сырцы вроде как http://chat.hitv.ru сам чат интересно просто есть ли там баги и возможно ли получение админки как я там понял все делается с помощью сессии ... xss в инфо не канает там все теги фильтруются как я просмотрел тут Zfailure сток видюшек насоздавал в общем будет время посмотрите я буду заходить сюда иногда удачи
ок! посмотрим в самом чате там вроде все проверяется но там вроде есть дополнительный скрипт для поиска юзера, в нем вроде xss есть
да такой скрипт и правда есть пример на чате http://chat.hitv.ru/users.php так же там есть xss <script>alert();</script> -ок <script>alert(123);</script> - ок <script>alert(as);</script> - уже не ок <script>alert('as'</script>- тут интереснее database error: cannot search user You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as'%'' at line 1 кажется возможен sql-injection хотя не буду утверждать + это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт и показать его ламеру чтобы перехватить его сессию в общем смотрите ; ) я зайду еще удачи
ps: http://chat.hitv.ru/ разрешено входить только 1 человеку ( не используя прокси есесно : ) ) и http://chat.hitv.ru/board_send.php?session=blablabla в поле тема и сообщение теги фильтруются, неработает =( http://tehline.ru/test.jpg интересно однако можно на сайте вставить картинку разрешено выполнение этого веб индикатора но поменять код на свой ява скрипт вроде нельзя удач
В директорию /chat/photos/0/ можно загружать любые файлы (хранятся фото участников чата), но только с расширением gif или jpg, вот как бы можно было, например, исполнить РНР-скрипт, загруженный туда? Загрузить - загрузил, на месте картинки имеется пустой квадратик, когда же напрямую обращаюсь к этому файлу, например http://chat/photos/0/1234.big.jpg, то показывается исходный код скрипта...
Есть вот еще какая вещь... http://chat/admin/index.php В принципе, возможно использование WWWhack.... Эта Админка только для верховного админа или для всех админов?
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'> А если загрузить javascript, он срабатывает ? типа </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> <script>alert()</script> [/QUOTE]<span id='postcolor'>
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (Algol @ октября 30 2004,17:00)</td></tr><tr><td id="QUOTE"></span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (NoOne @ октября 30 2004,16:49)</td></tr><tr><td id="QUOTE">то показывается исходный код скрипта...[/QUOTE]<span id='postcolor'> А если загрузить javascript, он срабатывает ? типа </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE"> <script>alert()</script> [/QUOTE]<span id='postcolor'>[/QUOTE]<span id='postcolor'> )))))))))))))))))))))))))))) Срабатывает )))))))))))))))))))))))))))) Вот только что дальше делать? Извиняюсь, может быть, за столь глупый вопрос, но хотя бы общие черты дальнейших действий...
Раз срабатывает, значит возможен пассивный XSS, и угон куков. Суть уязвимости такова - поскольку скрипт срабатывает в домене самого чата, то этому скрипту будут доступны куки того, у кого этот скрипт срабатывает (например админа). Использовать так: под видом картинки заливается скрипт, отсылающий куки на сниффер(пример приведен в описании cgi-сниффера), плюс к этому - скрипт также должен отобразить рисунок (что бы админ ничего не заподозрил). А далее нужно каким-то образом заставить админа взглянуть на твою фотку. Это можно сделать кучей способов. Начиная от тупого кидания линка в приват, и заканчивая заманиванием админа на свой сайт, где этот линк откроется в скрытом фрейме. (только предварительно выясни есть ли что то полезное в куках вообще)))
Algol, спасибо большое за столь подробное объяснение, мало кто так толково объяснит и таким нормальным человеческим языком От куков никакой пользы вообще нет, в них передается номер комнаты, цвет и сам ник, а вот самое главное - это сессия, которая передается только в строке адреса.... А можно каким-либо образом перехватить значение сессии не через куки?
НДА!!! 1. Захват куков в том чате ничего не даст!!! там идёр работа с сэссиями тоесть с локатион если захватить куки, то захватиь только имя и цвет вводимых сообщени!!! Да чат очень хороь в предыдущей версии была дыра получения приватов через ХЕЛП... но в новой версии её заделали!!! 1. Для начала конечно хотя бы попробовать красть куки... но снифер там ни через ник, ни через цвет, вообщем никак не пролазит... нужно юзать. 2. Конечно хочетса получить доступ к админке к файлу admin_users.php в котором хранитса имя и пароль... ну получить его как такого можно только имея свой скрипт на нтом сервере... но как такого его туда закачать нужно, через фото скрипт НЕЗАКАЧАТЬ НИКАК... потому что там идт проверка на гиф и ГПГ картинки...
Вот сижу и думаю : интересно кто нибудь проверял на баги чаты www.interchat.ru тэги вводятся без проблем........
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата (пр0х0жий @ октября 20 2004,08:30)</td></tr><tr><td id="QUOTE">да такой скрипт и правда есть пример на чате http://chat.hitv.ru/users.php так же там есть xss <script>alert();</script> -ок <script>alert(123);</script> - ок <script>alert(as);</script> - уже не ок <script>alert('as');</script>- тут интереснее database error: cannot search user You have an error in your SQL syntax. Check the manual that corresponds to your MySQL server version for the right syntax to use near 'as');%'' at line 1 кажется возможен sql-injection хотя не буду утверждать + это же скрипт поиска а не инфы ,ты несможешь сохранить свой ява скрипт и показать его ламеру чтобы перехватить его сессию в общем смотрите ; ) я зайду еще удачи[/QUOTE]<span id='postcolor'> Что-то я не пойму, а как было реализовано <script>alert('as');</script>- тут интереснее чтобы Сервер сказал о синтаксической ошибке?
Игорёк... не надо перхватывать сээсиию как ты СКАЗАЛ через КУКИ... просто напросто вмечто document.cookie нужно location.href в моём снифере там всё есть... помоему он даже удобней чем античатовский!!!
XSS там не пашет это БРЕД!!! <script>alert('as'</script>- - это ваще полный бред какойто впариваете... интересно ж что от не го можно получить интересно полезного!!! ДА вообщем что нужно юзать я описал в предыдущей статье... пробовал я получить через iframe но аналогичный результат он выполняетса скрипт естественно... а нужно его исход... и просто получить переменые файла админки
не пашет вроде если в alert вставить символы как мне показалось ....кстати где твоя статья то по данной теме ? посмотрю.....и ссылочку на свой сниффер желательно посмотреть интересно .... удачи
Конечно можно я ж показал уже <? require "/полный путь/admin/admin_users.php"; print $admin_users[0]["nickname"]; print "<br>"; print $admin_users[0]["password"]; ?>
