Título: PHPKIT SQL Injection Cross Site Scripting Vulnerability Publicado por: Don Kaka en 24 Noviembre 2004, 12:46 pm holaz, weno el asunto es el siguiente como dice el titulo, busqué algunas webs que trabajaran con PHPKIT encontré algunas, e inyecte el siguiente codigo XSS
http://www.victima.com/phpkit/popup.php?img="><script>alert(document.cookie)</script> y salió lo siguiente ... (http://es.geocities.com/karburozklan/jak/xssphpkit.jpg) lo que pasa es que ahora no sé que hacer con eso :s, veo que eso puede ser el user y el md5, pero no estoy seguro. no se si ustedes que saben mas que yo me podrían orientar. chaoz. Título: Re: PHPKIT SQL Injection Cross Site Scripting Vulnerability Publicado por: zhyzura en 24 Noviembre 2004, 13:37 pm no estas tan lejos...
si te fijas donde dice: user_name ya tienes el nombre solo te falta crackear el md5 de: user_pw para esto te dejo los siguientes enlaces: descifrar md5 http://foro.elhacker.net/index.php?board=5;action=display;threadid=13639 Manual Mdcrack-PARA MI el mejor crackeador de MD5- por chiflon http://foro.elhacker.net/index.php/topic=30367.0 Crackeando MD5 http://foro.elhacker.net/index.php?board=23;action=display;threadid=18547;start=msg96083#msg96083 saludos Título: Re: PHPKIT SQL Injection Cross Site Scripting Vulnerability Publicado por: Don Kaka en 24 Noviembre 2004, 13:46 pm gracias zhyzura, pero ahora tengo otra duda, lo que pasa es que enontré otra web con PHPKIT y le inyecté el codigo XSS, y sale el mismo user_name que es Gast. que pasa kon eso??.
otra duda: kizas se pueda ingresar directamente con el hash md5 komo se hacía con phpnuke? o no? Título: Re: PHPKIT SQL Injection Cross Site Scripting Vulnerability Publicado por: codebreak en 24 Noviembre 2004, 15:27 pm Gast quizas es "Guest" en otro idioma... ???
Título: Re: PHPKIT SQL Injection Cross Site Scripting Vulnerability Publicado por: FeRmO en 25 Noviembre 2004, 02:42 am Si si esta muy bien ese ataque ataque xss
Citar http://www.victima.com/phpkit/popup.php?img="><script>alert(document.cookie)</script> Pero que quieres saber tu cookie??? Tendras que enviar ese link a la persona que quieras atakar para saber su cookie. Bueno ese link exacto no xD, pasate por la sección de tutoriales y mira ataques xss hay tienes todo lo que necesitas para comprender y realizar el ataque :D Salu2. |