Чаты Voodoo чаты

Discussion in 'Веб-уязвимости' started by bugaga, 27 Nov 2005.

  1. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    2 Nova Если у тебя получиться - отпишись. Мне тоже интересно.
     
  2. Nova

    Nova Green member

    Joined:
    15 Jul 2005
    Messages:
    1,233
    Likes Received:
    420
    Reputations:
    280
    Ну энто само собой...
     
    _________________________
  3. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    Ребят чё замышляете ? можно с обяснениями ...а то вудду у меня в выше горла сидит )))
     
  4. ROBOR

    ROBOR New Member

    Joined:
    7 Jan 2006
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
  5. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    У меня тоже есть ЗДЕСЬ
     
  6. Bum-z

    Bum-z New Member

    Joined:
    5 Feb 2006
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Народ! Подскажите свои мысли насчет чатика http://chat.mogilev.by
    login: qwe
    password: qwerty
     
  7. tclover

    tclover nobody

    Joined:
    13 Dec 2005
    Messages:
    741
    Likes Received:
    682
    Reputations:
    287
    Что я могу сказать...Админ там ганд...н. Модеры - там редчайшие сволочи. Правда не все.... А чат...хз
     
  8. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    Привет ребятки! Значит дело обстоит так ...меня спалили кажись админу чата которого я хочу юзать ...так что от вас тоже прошу что бы об найденных уязвимостой не вытащить на паблик если что то стукните в асю 195165911 а если у вас есть Msn то можно устроитить там чат!
     
  9. NIGHT_WOLF

    NIGHT_WOLF Member

    Joined:
    17 Aug 2005
    Messages:
    192
    Likes Received:
    17
    Reputations:
    2
    NaX[no]r† ну что там с ботом то ?
     
  10. Diabolik

    Diabolik New Member

    Joined:
    1 Mar 2006
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    Случайно попал на ваш форум понравилось, ну я зарегился и решил помочь...

    POST http://www.butovo.com/chat/sender.php HTTP/1.0
    Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-icq, application/x-comet, application/x-shockwave-flash, */*
    Referer: http://www.butovo.com/chat/designes...937b74afff8850354cb78683530816c&user_color=27
    Accept-Language: ru
    Content-Type: application/x-www-form-urlencoded
    Proxy-Connection: Keep-Alive
    User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; MRA 4.4 (build 01334))
    Host: www.butovo.com
    Content-Length: 183
    Pragma: no-cache
    Cookie: c_user_name=Marusia; c_chat_type=tail; c_design=hi-tech; c_user_color=27; PHPSESSID=7d57b4c3f1b99a059bfb6e53bfb60aa7

    session=5937b74afff8850354cb78683530816c&mesg=%C5%F1%F2%FC+%F1+%EA%E5%EC+%EF%EE%EE%E1%F9%E0%F2%FC%F1%FF%3F&send=%D1%EA%E0%E7%E0%F2%FC&whisper=&user_color=25&style_b=&style_i=&style_u=


    Это запрос к скрипту для тех кому лень учить PHP.. Теперь вставляем этот запрос в пагу какуюнибудь и жмем отправить.. Вот написал пример на Delphi для флужения на чате butovo.com http://hackni.dontexist.org (за рекламу прошу не считать)
     
  11. Nova

    Nova Green member

    Joined:
    15 Jul 2005
    Messages:
    1,233
    Likes Received:
    420
    Reputations:
    280
    Да флудер уже есть на php написаный в этой теме валяеться гдето.... с ним удобней....
     
    _________________________
  12. Diabolik

    Diabolik New Member

    Joined:
    1 Mar 2006
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    А там кто то на счет хостинга терялся... А у меня все просто на Дельфе под винду. и пакету пуляются с твоего компьютера и не видно табличку флуд..
     
  13. Gho_st

    Gho_st Elder - Старейшина

    Joined:
    24 Jun 2005
    Messages:
    79
    Likes Received:
    9
    Reputations:
    3
    хех наканец таки вставил сниффу в Вос

    воопросы такие что за странный ид юзера (3х значиный)
    и что за параметр с_hash за что он отвечает?
     
  14. Schweppes

    Schweppes New Member

    Joined:
    25 Jun 2006
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Простите, а не подскажете как менять сессии? Опера этот чат не поддерживает =(
     
    #134 Schweppes, 16 Jul 2006
    Last edited by a moderator: 17 Jul 2006
  15. Nova

    Nova Green member

    Joined:
    15 Jul 2005
    Messages:
    1,233
    Likes Received:
    420
    Reputations:
    280
    CookieEditor nебе в помощь и дя таких чатом юзай IE или Maxon.
     
    _________________________
    1 person likes this.
  16. Spider_Klim

    Spider_Klim New Member

    Joined:
    15 Jul 2006
    Messages:
    19
    Likes Received:
    0
    Reputations:
    0
    В профиле, в поле "Мой сайт" вставлял ссылку на сниффер, а в дополнительной информации писал: "Смотрите мою фотку по ссылке ниже."
    Затем говорил в чате у меня новая фотка всем читать инфу.
    Обновлял снифер и видел сессии, далее подменял их и всё.
    Как мне допустим это сделать http://chat.tus.ru/password_reminder.php?look_for=%3Cscript%3E
    Вставить сниффер туда
     
  17. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    поймал сессию , открываешь *мои данные* берешь в руку XSS_Kit открывешь хидден сессии видешь свою сессию... выделяешь и del вставляешь сессию жертвы ...меняешь пасс и нажимаешь обновить
     
  18. Gho_st

    Gho_st Elder - Старейшина

    Joined:
    24 Jun 2005
    Messages:
    79
    Likes Received:
    9
    Reputations:
    3
    у меня тут возникла следущая идея
    а нельзя ли как нить на сниффер вывести не куки а функцию whoList ибо в ней также содержутся ID сессий
     
  19. .Slip

    .Slip Elder - Старейшина

    Joined:
    16 Jan 2006
    Messages:
    1,571
    Likes Received:
    977
    Reputations:
    783
    Теоритически возможно.. А практически прийдётся писать сниффер только под вуду, если хочешь угонять сессию-)
     
  20. Electro

    Electro Elder - Старейшина

    Joined:
    23 Oct 2005
    Messages:
    243
    Likes Received:
    45
    Reputations:
    39
    Id и так видно .... но сессию поймать сложно ...
    Открывашь инфу юзера и наводишь мыш на отправить сообщения на личику и внизу браузера смотришь Id юзера