حالة الموضوع:
مغلق
  1. нєαяτ

    нєαяτ Developer

    الأنتساب:
    ‏7 مايو 2012
    المشاركات:
    65
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    اسبانيا
    \

    السلام عليكم ورحمه الله وبركاته ..!!

    \

    كيف حالكم ان شاء الله بخير وصحه وعافيه ..!!

    قبل تقريبا شهرين لاحظت ان موقع kE EK يقبل ملفات html بشرط تحويل

    مسمى ملفك الى file.jpg او file.png او file.gif ..!!

    و قد اعطيت الطريقة لاكثر من شخص ..!!

    وقد يكون هناك من مرت عليه الطريقة قبلي .. not big deal ..!!

    ولكن ذهب الكثير الى تعليق اندكسسس .. وتسجيل بالزون اتش s1

    طبعا حاولت استغلال هذا الشئ .. وبعد عدة اختبارات ..!!

    قدرت استخرج عدة ثغرات CSRF ..!!

    وهي كالتالي ..!!

    1- جعل اي مشترك في الموقع بعمل like لمقطعك او اي مقطعك تريده.
    2- جعل اي مشترك في الموقع بعمل Subscribe لقناتك او اي قناة تريدها .
    3- جعل اي شخص يعمل dislike لمقطعك او مقطعك تبيه .
    4- جعل اي شخص يعمل unSubscribe لقناتك او اي قناة تريدها .
    5- تغير الباس او الايميل لاي مشترك وتخطي قيمة (frmtk).
    (بالنسبة لثغره 5 لن اطرحها و اكتفي بتلميح بأنك تحتاج لحسابين لديك. واحد ترفع فيه ملف لسحب القيمة ويحول الضيحه للحساب الذي توجد فيه ثغره CSRF تغيير الباس او الايميل).
    6- حقن اكواد خبيثة html او Jav a s cript عن طريق الملف الشخصي . وتم التجربة باستخدام ادوات xssshel و beef .

    وقد تمت مراسلة الدعم الفني للموقع .. قبل يومين ..!!
    !!:{

    وسويت شرح للامور اعلاه ما عدا تغير الباس و الايميل ..
    bl"eh" ..!!

    الاستغلالات مرفقه .. كل ما عليك هو تغير ملف Subscribe وكتابة اسم

    اليوزر الي تبي يجئ عليه Subscribe ..!!

    وبالنسبة لملف LIKE تغير اسم الفديو الى الفديو المراد عمل له LIKE OR DISLIKE ..!!

    وكذلك بالنسبة لاستغلال BEEF OR XSSSHEL غير الرابط الى صفحتك ..!!

    أو اي صفحه ملغمه تبيها ..!!


    \

    اتركم مع الشرح



    [YOUTUBE]XdkfZ4jZr2c[/YOUTUBE]


    \

    اتمنى ان الموضوع مفيد لكم وتطلعون بافكار اقوى وافضل ان شاء الله
    &:"
    \

    في امان الله
     

    الملفات المرفقة:

  2. روبورت1

    روبورت1 <img src="http://im34.gulfup.com/s2o63.gif"><br>فر

    الأنتساب:
    ‏8 نوفمبر 2012
    المشاركات:
    654
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    18
    عزيزي الكاتب ، شكراً لك على الإفادة في المنتدى بإضافة مادّة علمية جديدة إليه
    كتب الله لك أجر كل من استفاد منها.

    * تنبيه للأعضاء والزوّار ، نتمنّى عدم دخول أيّة روابط خارجيّة أو تحميل أي مرفق موجود بالموضوع
    حتى يتم تأكيد سلامة المحتوى برد من قبل أحد أعضاء فريق الفحص أو مشرف القسم.

    [warning]هذه العضوية آليّة ، غير مُدارة من قبل أي عُنصر بشري ، إنما مبرمجة لتقوم ببعض أعمال التنظيم والمتابعة في المنتدى.[/warning] ​
     
  3. AHMAD MOSAAD

    AHMAD MOSAAD Developer

    الأنتساب:
    ‏31 مارس 2012
    المشاركات:
    89
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الوظيفة:
    Student
    الإقامة:
    Egypt
    رد: KeeK CSRF Vulnerability and Inject malware private

    مُبدع ,, تستاهل تقييم :{11}:​
     
  4. The Ceaser

    The Ceaser Active DeveloPer

    الأنتساب:
    ‏22 نوفمبر 2012
    المشاركات:
    86
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    Egyp
    رد: KeeK CSRF Vulnerability and Inject malware private

    ماشاء الله عليك آخوي ، مبدع
     
  5. мя.scяєαм

    мя.scяєαм Developer

    الأنتساب:
    ‏23 ديسمبر 2011
    المشاركات:
    20
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    1
    الإقامة:
    C:\WINDOWS\system32
    رد: KeeK CSRF Vulnerability and Inject malware private

    سلمت يداك
    و بارك الله فيك
    سبحان الله و بحمده سبحان الله العظيم
    جاري ال 5 نجوم
     
  6. яσ¢к нα¢кєя

    яσ¢к нα¢кєя Developer

    الأنتساب:
    ‏24 مارس 2012
    المشاركات:
    67
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    الإقامة:
    Taif
    رد: KeeK CSRF Vulnerability and Inject malware private

    يعطيك العافيــة يامبدع . .:{12}:​
     
  7. ĵÕķÊя ÌЯĄΘ

    ĵÕķÊя ÌЯĄΘ Developer

    الأنتساب:
    ‏20 مارس 2013
    المشاركات:
    69
    الإعجابات المتلقاة:
    0
    نقاط الجائزة:
    6
    رد: KeeK CSRF Vulnerability and Inject malware private

    وعليكم السلام ورحمة الله وبركاته

    عاشت ايدك حبيبي

    أستمر يا غالي
     
  8. ALi ALsaadi

    ALi ALsaadi Developer

    الأنتساب:
    ‏29 مارس 2012
    المشاركات:
    31
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    العراق
    رد: KeeK CSRF Vulnerability and Inject malware private

    مشكور حبيبي واصل .:{1}:
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة