ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
|
01.11.2015, 20:17
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)
Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )
Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)
Есть ли возможность что то придумать через html ...
Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл)
|
|
|
01.11.2015, 21:02
|
|
Banned
Регистрация: 21.11.2007
Сообщений: 181
Провел на форуме:
1066435
Репутация:
1013
|
|
Сообщение от GroM88
GroM88 said:
↑
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)
Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )
Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)
Есть ли возможность что то придумать через html ...
Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл) XSS же
|
|
|
|
01.11.2015, 21:16
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от GroM88
GroM88 said:
↑
Ребят) вопрос такой вообщем есть фича на сайте типо добления в blacklist мембера например который тебе не приятен) суть не в этом)
Когда добовляешь мембера в блэк вылазит поле для ввода коментария ( ну мол потом когда заходишь на его страницу виден этот коментарий только тебе )
Суть вопроса в том, вообщем я заметил что в это поле отлично вставляется html код и он работает .)
Есть ли возможность что то придумать через html ...
Сорри за идиотский вопрос 200 лет уже не занимался ничем подобным)) все позабыл) Возможно, скорее всего, он также виден админам, что может привести к выдиранию админских куков
|
|
|
|
01.11.2015, 21:18
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Сообщение от winstrool
winstrool said:
↑
Возможно, скорее всего, он также виден админам, что может привести к выдиранию админских куков Возможно, но думаю что врятли ибо если представить что например этого пользователя добавило в блэк хотя бы 100-200 человек, тогда админ зайдет на его страницу, он устанет читать различную по3б3нь возле его ника в профиле))
|
|
|
|
01.11.2015, 21:33
|
|
Guest
Сообщений: n/a
Провел на форуме:
46938
Репутация:
2
|
|
через XSS можно сделать многое, вплоть до автоматической заливки шелла:
/threads/50646/#post-584229
отлови http пакет во время добавления юзера в блек и инжектируй туда свой evil код |
|
|
|
01.11.2015, 22:44
|
|
Познающий
Регистрация: 06.03.2007
Сообщений: 59
Провел на форуме:
371875
Репутация:
137
|
|
Сообщение от GroM88
GroM88 said:
↑
Возможно, но думаю что врятли ибо если представить что например этого пользователя добавило в блэк хотя бы 100-200 человек, тогда админ зайдет на его страницу, он устанет читать различную по3б3нь возле его ника в профиле)) Админа можно и попросить зайти на страницу, с мотивировать его чем либо!
|
|
|
|
01.11.2015, 23:12
|
|
Познающий
Регистрация: 25.10.2007
Сообщений: 46
Провел на форуме:
318186
Репутация:
2
|
|
Сообщение от winstrool
winstrool said:
↑
Админа можно и попросить зайти на страницу, с мотивировать его чем либо! Админа пригласить на страницу проблемы нет никакой)
проблема у меня в том что в xss у меня нет как токовых знаний и практики)
yarbabin, подсказал запилить alert()
Вообщем вписал, никаких изменений не было)
В профиле получается написан ник пользователя например ATMOSFERA (тут в скобочках отображается причина)
В моем случае просто получились простые скобочки)
Сорян что пишу куйню эту всю) но в xss вообще нет никаких познаний)
Пните меня в нужное русло с подсказками) может какой еще код попробовать внедрить)
Пробовал запилить и вызвать http://site.ru/member.html?id=12547&c=phpinfo();
Не получилось)) куйню наверно делаю))
|
|
|
|
01.11.2015, 23:20
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
2268
Репутация:
0
|
|
GroM88, Читай статьи по XSS.
|
|
|
|
02.11.2015, 11:41
|
|
Guest
Сообщений: n/a
Провел на форуме:
28937
Репутация:
0
|
|
Через havij раскрутил скулю, в итоге нашлась одна база "information_schema" как не пытался найти данные пользователей, бесполезно, где могут хранится данные? сорри за нюбский вопрос, заранее благодарен за помощь.
|
|
|
|
02.11.2015, 11:50
|
|
Guest
Сообщений: n/a
Провел на форуме:
179197
Репутация:
25
|
|
Сообщение от gQd
gQd said:
↑
Через havij раскрутил скулю, в итоге нашлась одна база "information_schema" как не пытался найти данные пользователей, бесполезно, где могут хранится данные? сорри за нюбский вопрос, заранее благодарен за помощь. information_schema - системная база с системными таблицами, в ней нет юзеров. Основная база сайта - другая. И не факт что там будут данные пользователей.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
