XSS mail.ru rambler.ru

Discussion in 'Уязвимости Mail-сервисов' started by slider, 4 Dec 2006.

  1. А®ТеS

    А®ТеS Active Member

    Joined:
    25 Nov 2006
    Messages:
    198
    Likes Received:
    193
    Reputations:
    41
    Spaсибо, все ок!!!
     
  2. Makes

    Makes New Member

    Joined:
    21 Nov 2006
    Messages:
    30
    Likes Received:
    2
    Reputations:
    -3
    Все вроде делаю, как указано на первой странице. Чего то не прокатывает. Видимо делаю что-то не так. Ваш рабочий вариант на данный момент отличается от оного на первой странице?
     
  3. m17

    m17 New Member

    Joined:
    5 Dec 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    2
    вчера "+" фильтровать начали, но с concat все нормально пашет. советую ссылку обработать такой функией:
    PHP:
    function full_encode($str)
    {
        
    $result '';
        for (
    $i=0$i strlen($str); $i++)
            
    $result .= ("%" bin2hex(substr($str$i1)));

        return 
    strtoupper($result);
            
    }
    так проще впарить. думаю Вам не надо объяснять почему так...
     
    1 person likes this.
  4. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    Ничё там не фильтруется!...
    всё работает!
     
    1 person likes this.
  5. Sn@k3

    Sn@k3 Elder - Старейшина

    Joined:
    13 Apr 2006
    Messages:
    1,000
    Likes Received:
    438
    Reputations:
    90
    пиши видео под зачет)))пока актуально))) а то там нового ничего нет) правда у меня все же пишет опасный код))
     
    1 person likes this.
  6. Chumak

    Chumak Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    59
    Likes Received:
    7
    Reputations:
    -4
    А у меня куки на сниффер только от фаерфокса почемуто приходят...
     
  7. Chumak

    Chumak Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    59
    Likes Received:
    7
    Reputations:
    -4
    "пиши видео под зачет)))пока актуально))) а то там нового ничего нет) правда у меня все же пишет опасный код))"
    Точно...
     
  8. Makes

    Makes New Member

    Joined:
    21 Nov 2006
    Messages:
    30
    Likes Received:
    2
    Reputations:
    -3
    Ну почему тогда у меня ничего не пашет. Выдает:

    Ошибка: Неверно указан логин или пароль

    А наряду с полями для логина и пароля выдает (">) без скобок
     
  9. m17

    m17 New Member

    Joined:
    5 Dec 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    2
    Фильтруется.
    HTML:
    "><script>alert(document.cookie);</script><br style="
    покажет куки
    HTML:
    "><script>alert(document.cookie+'dead-plus');</script><br style="
    промолчит

    откроем исходник и увидим:
    HTML:
    name="tcurl" value=""><script>alert(document.cookie "dead-plus");</script>
    ("+" исчез)

    только что еще раз затестил
     
  10. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    ХЗ ..куки приходят!
     
  11. Chumak

    Chumak Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    59
    Likes Received:
    7
    Reputations:
    -4
    "Ну почему тогда у меня ничего не пашет. Выдает:

    Ошибка: Неверно указан логин или пароль

    А наряду с полями для логина и пароля выдает (">) без скобок"
    Куки все равно приходят...
    СДЕЛАЙте ВИДИО!
     
  12. slider

    slider Reservists Of Antichat

    Joined:
    4 Sep 2005
    Messages:
    501
    Likes Received:
    711
    Reputations:
    748
    ЖДИТЕ!.. =)
     
  13. m17

    m17 New Member

    Joined:
    5 Dec 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    2
    ну правильно, если он у тебя записан кодом то все нормально, но сам символ без кодировки фильтром режется. правда подходит только urlencode, в других кодировках вообще плюс и всё что после него отсекается.
     
  14. КИНГ

    КИНГ Elder - Старейшина

    Joined:
    13 Jun 2006
    Messages:
    129
    Likes Received:
    25
    Reputations:
    -1
    жива еще Xss?
     
  15. Chumak

    Chumak Elder - Старейшина

    Joined:
    27 Oct 2006
    Messages:
    59
    Likes Received:
    7
    Reputations:
    -4
    ААА..видио..быстрей!!!
     
  16. m17

    m17 New Member

    Joined:
    5 Dec 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    2
    для самых нетерпеливых =)

    вот моя версия видео) http://armed.h12.ru/xss.rar

    безусловно, все права принадлежат slider'y, поэтому по первому требованию файл уберу.

    сорри, наверное немного косячно) но у меня это первый такой мувик)

    ссылка не совсем прямая, если так можно сказать)
    при переходе появиться сообщение что файл находится на сервере бесплатного хостинга, там ссылку и нажмете...)
     
  17. Mokfyl

    Mokfyl Banned

    Joined:
    28 Nov 2006
    Messages:
    16
    Likes Received:
    2
    Reputations:
    0
    Через чо у тебя это видео посмотреть-то можно??
     
  18. Rebz

    Rebz Banned

    Joined:
    8 Nov 2004
    Messages:
    4,052
    Likes Received:
    1,534
    Reputations:
    1,128
    нда..а нормальным чем-нибудь мог записать? или ты с учетом на то что нам кодеки дополнительные качать надо?) лол
     
  19. m17

    m17 New Member

    Joined:
    5 Dec 2006
    Messages:
    21
    Likes Received:
    1
    Reputations:
    2
    ну сорри, на самом деле первый раз это делал, просто запусил ScreenVirtuoso Pro с настройками по дефолту... кодек FMVC/MSVC

    DSH 4CC FMVC
    VFW Description FM Screen Capture Codec
    DSH DirectShow CLSID CLSID_AVIDec {CF49D4E0-1115-11CE-B03A-0020AF0BA770}
    REG Driver File F:\WINDOWS\system32\fmcodec.dll
    DSH Friendly Name FM Screen Capture Codec
    - - Function Decoder
    REG Merit 0x00200000
    VFW Name FMCodec
    - - Type VFW
     
  20. Mokfyl

    Mokfyl Banned

    Joined:
    28 Nov 2006
    Messages:
    16
    Likes Received:
    2
    Reputations:
    0
    а где его взять можно?
     
    1 person likes this.