Форумы Invision 2.1.5 Xss

и так тоже не получаеться

 

На портале не одна статья по xss.
Ищи.
------------
ой блин - а напостили то сколько
в таком случае мой ответ - движок что-то из твоего запроса фильтрует

 

Про xss на античате уже давно читал. Тут только как делать алерт обьясняют, а про сниффера нету. А алерт у меня есть.

 

Есть про сниффер. Пойду сейчас на локалке проверю предъявленные способы.

 

Всё работает на 2.1.5, если через аватару. Правда, там где я проверял была ещё одна защита от дурака (но неизобретательного дурака).

 

Изобретательных дураков не бывает. Изобретательный-не дурак.

Кстати вроде бы джордоновская Xss для 2.1.4 работает в этой версии.

 

Поцан просто не знал как с Xss быть воти отмазался.

 

Хм... Вот для тех кто пишет, что ни фига на работает:
http://dreamshell.h16.ru/hack/cookie_avatar_ipb.txt

 

А дай пожалуйста ссылку, попробую. А то через аватару всё же сильно палевно

 

Я дал уже!!!
Причём в ЭТОЙ теме!!!!!

 

Я и у меня тоже наконецто получилось ответ ищите в этой теме
Теперь такой вопрос встал как сделать чтобы а аватаре было картинка еще, чтобы никто не заподозрил?

 

Я уже задавал этот вопрос, ответ - никак, ссылка: http://forum.antichat.ru/thread17664.html

 

У меня есть сниффер установленный на локалхосте. Я его залил на хост где поддерживвает пхп. Так вот когда на ссылку нажимаешь то открываеться картинка. Но это все работает у меня только на локалхосте. А так когда я нажимаю на ссылку она закачывается. Незнаю может я через лису просматривал из за этого так. Хочу сказать что можно.

 

Ни чего не понял! Как же тогда она открывается как аватара, если она закачивается???

 

Все работает на ура !!!
Есть вопрос хеш получен но проблема его расшифровать , наверное он с солью. Как можно соль узнать??
И еще как можно попасть в админку?

 

Через Xss никак. Там соль.

 

Можно попробовать сделать следущее (Меня такой способ много раз выручал)
Если известна Аська админа Например 123456789
Идем в гугле или яндекс и пишем ICQ 123456789
Если ничего не получиться типа не найдет то
Можно Если зная мыло задать такойже запрос (Тока с мылом например [email protected])
Если уж ничего не получается то по нику хотяб. (Пишешь Профиль пользователя Его-Ник)
Если тебе в одном из перечисленных случаев повезет (вылезет профиль пользователя его ник итд итп) то попробуй отыскать бажный форум ipb 1.3 версии и попробуй из него вытащить hash который можно легко расшифровать... Возможно он подойдет от админки твоего форума.
Еще раз повторяю этот способ мне помогал очень много раз.

 

как понять поставить вместо пробелов табуляцию???

 

Скопировать с этого форума сплойт в блокнот. И везде где пробелы удалить их, а вместо них поставить табуляции!!!!

 

сорри ступил алерт прошёл