انجمن تیم امنیتی ایران سایبر

Security راهنمایی برای پیدا کردن کوکی ادمین سایت

شروع موضوع توسط dead_silyutls ‏16/8/18 در انجمن ( Cross Site Scripting ( Xss

  1. لطفا فایل های خود را جهت ماندگاری در انجمن اپلود کنید در صورت مشاهده لینک اپلود خروجی , تاپیک حذف خواهد شد .
    بستن اطلاعیه
بستن اطلاعیه


درود مهمان گرامي؛

مهمان گرامي، براي مشاهده تالار با امکانات کامل ميبايست از طريق ايــن ليـــنک ثبت نام کنيد .

شرکت امنیتی ایران سایبر - برگزار کننده دوره های آموزشی و مسابقات فتح پرچم (CTF)
  1. dead_silyutls
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏21/7/18
    ارسال ها:
    34
    تشکر شده:
    32
    جنسیت:
    Name:
    dsilyutls
    Main os:
    Kali
    سلام خدمت دوستان عزیز

    دوستان بنده میخوام PHPSESSID ادمین یک سایت رو بدست بیارم و متاسفانه اون سایت باگ xss رو نداره خواستم بپرسم برای اینکه بتونم این سشن رو ازش بگیریم ایا میشه لینکی یا فایلی برای این شخص فرستاد و این سشن رو ازش گرفت یا خیر ؟

    یک مثال بزنم دوستان بهتر متوجه بشن

    این سایت یا همون تارگتی که قصد نفوذ بهش رو دارم با php نوشته شده
    پس این کوکی به این صورت ایجاد شده
    کد:
    session_start()
    خب خروجی این یه دونه نام کوکی هست و یه دونه اون id هستش بصورت زیر:
    کد:
    PHPSESSID=nb714i2v97glpcn3oi85rvbas0
    که نامش میشه همون : PHPSESSID
    و ID میشه :nb714i2v97glpcn3oi85rvbas0
    و همونطور که دوستان اطلاع دارن این کوکی رو میشه تو مرورگر خودمون بسادگی تو بخش NETWORK مرورگر و در سربرگ COOKIES مشاهده کرد.

    حالا سوال اینجا که چطوری میتونم این کوکی رو که تو بخش NETWORK مرورگر قبانی ذخیره هستش رو بدست بیارم.
    تصور من اینکه یک فایل PHP که بر روی یک هاست اپلود شده به این شخص ارسال کنم و با باز کردن اون فایل تحت مرورگر این کوکی رو از بخش نتورک در یک فایل قرار بده و در اون هاست اپلود کنه ؟

    ایا هم چه چیزی امکان پذیر هست ؟
    ایا اسکریپتی جهت انجام اینکار کسی سراغ داره ؟
     
    آخرین ویرایش: ‏16/8/18
  2. Mr_Security
    عضو انجمن

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏4/11/15
    ارسال ها:
    60
    تشکر شده:
    332
    جنسیت:
    Name:
    ReZa
    Main os:
    Ubuntu
    سلام دوست عزیز برای اطلاع بیشتر از نوع این حملات این برای نمایش این قسمت باید وارد سیستم شوید یا اینکه ثبت نام نمایید را مطالعه کنید
     
    F4LL3N، davala، JOK3R و 2 نفر دیگر از این ارسال تشکر کرده اند.
  3. dead_silyutls
    کاربرتازه وارد

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏21/7/18
    ارسال ها:
    34
    تشکر شده:
    32
    جنسیت:
    Name:
    dsilyutls
    Main os:
    Kali
    با تشکر از شما دوست خوبم
    این مقاله که فرمودید داره بیس کار باگ xss رو اموزش میده و متاسفانه اون سایت مد نظر بنده بطور کلی نتنها از این باگ مستثنی هست بلکه بشدت جلوی اجرای کدهای جاوا اسکریپت رو گرفته.
    و منظور بنده این بوده که کدی رو سمت سیستم مدیر اون سایت اجرا کنم که بتونه اطلاعاتش رو برای بنده به مقصد خاصی بفرسته وگرنه خود اون سایت این اجازه رو نمیده و با کدهای جاوا اسکریپت همانند یک متن ساده رفتار میکنه.
     
  4. Wikto
    عضو انجمن

    وضعیت:
    Offline
    تاریخ عضویت:
    ‏12/8/18
    ارسال ها:
    33
    تشکر شده:
    220
    جنسیت:
    شغل:
    مهندس امنیت
    محل سکونت:
    تهران
    Name:
    MOHAMMAD
    Main os:
    Kali
    دوست گرامی برای اجرای عملیات فوقی که ذکر کردید بنده تنها ابزار خوبی که در این زمینه میشناسم ابزار CrabStick می باشد
    تجزیه و تحلیل آسیب پذیری خودکار LFI / RFI و بهره برداری از آن می باشد که می توانید با رجوع به صفحه برای نمایش این قسمت باید وارد سیستم شوید یا اینکه ثبت نام نمایید نصب و طریقه عملکرد را مشاهده کنید
    موفق باشید
     
    Mkali07، davala، 0x3a و 3 نفر دیگر از این ارسال تشکر کرده اند.
بارگذاری...

کاربرانی که از تاپیک دیدن کرده اند (کل: 9)

  1. IWHH(Mobin)
  2. dead_silyutls
  3. JOK3R
  4. syringe
  5. DawnInAllah
  6. Boalwou
  7. Servicemzo
  8. hackerman1
  9. Pi.Hack
به انجمن تخصصی امنیت ایران سایبر خوش آمدید . برای مشاهده تمامی تالار ها و امکانات ثبت نام کنید .