ANTICHAT — форум по информационной безопасности, OSINT и технологиям

Собственно вернусь к вопросу который задавал чуть более года назад.

.SpoilerTarget" type="button">Spoiler: Вообщем суть вопроса в кратце изложена тут
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)

Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )

Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)

Есть ли возможность что то придумать через html ...

Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл)

Вообщем опишу все что попробовал.

Пробовал просто вписать php код вида , по итогу получал в исходном коде собственно это говорит о том что присутствует некий фильтр на phpinfo(); по итогу естественно phpinfo не выводится а в исходном коде остается лишь

Далее хотел попробовать XSS

Зная на 100% что админ не видит коментарий который я добавляю для пользователя хотел все таки забить на xss.

Забить хотел не только по этой причине, а по причине еще что там как бы если я ввел логин пасс и вошел на сайт. Все отлично, пользуюсь функционалом . Как только у меня меняется IP, Сразу же выбрасывает из учетки и приходится логинится заново. Собственно это говорит от том что даже если я возьму активные куки админа и подставлю их вместо своих, то меня в любом случае сразу же выбросит из аккаунта.

И все же я решил попробовать, тестировал не на админе а на модераторе.

Через XSS достал его куки, подставил вместо своих и как и ожидалось, меня сразу же выбрасило из аккаунта.

-

Вообщем хотелось бы услышать дельных советов что можно попробовать в данном случае, за ранее очень благодарен.