رفتن به مطلب

با توجه به آماده سازی و تامین زیرساخت لازم جهت تبدیل انجمن به یک منبع آموزشی در حوزه امنیت و ارزیابی امنیت، لطفا فایل های خود را در انجمن پیوست نمایید. در غیر این صورت تاپیک شما حذف خواهد شد.

 

dead_silyutls

راهنمایی برای پیدا کردن کوکی ادمین سایت

توسط dead_silyutls، در ( Cross Site Scripting ( Xss

پست های پیشنهاد شده

dead_silyutls 0

dead_silyutls
ارسال شده در

سلام خدمت دوستان عزیز

 

دوستان بنده میخوام PHPSESSID ادمین یک سایت رو بدست بیارم و متاسفانه اون سایت باگ xss رو نداره خواستم بپرسم برای اینکه بتونم این سشن رو ازش بگیریم ایا میشه لینکی یا فایلی برای این شخص فرستاد و این سشن رو ازش گرفت یا خیر ؟

 

یک مثال بزنم دوستان بهتر متوجه بشن

 

این سایت یا همون تارگتی که قصد نفوذ بهش رو دارم با php نوشته شده

پس این کوکی به این صورت ایجاد شده

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

خب خروجی این یه دونه نام کوکی هست و یه دونه اون id هستش بصورت زیر:

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.

که نامش میشه همون : PHPSESSID

و ID میشه :nb714i2v97glpcn3oi85rvbas0

و همونطور که دوستان اطلاع دارن این کوکی رو میشه تو مرورگر خودمون بسادگی تو بخش NETWORK مرورگر و در سربرگ COOKIES مشاهده کرد.

 

حالا سوال اینجا که چطوری میتونم این کوکی رو که تو بخش NETWORK مرورگر قبانی ذخیره هستش رو بدست بیارم.

تصور من اینکه یک فایل PHP که بر روی یک هاست اپلود شده به این شخص ارسال کنم و با باز کردن اون فایل تحت مرورگر این کوکی رو از بخش نتورک در یک فایل قرار بده و در اون هاست اپلود کنه ؟

 

ایا هم چه چیزی امکان پذیر هست ؟

ایا اسکریپتی جهت انجام اینکار کسی سراغ داره ؟

از تک تک کارهای که انجام میدهید لذت ببرید اگر منتظر اتمام کاری هستید بدانید شروع کار دیگری در انتظار توست و این انتظار اتمام عمر توست.

به اشتراک گذاری این ارسال

لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Mr_Security 10

Mr_Security
ارسال شده در

سلام دوست عزیز برای اطلاع بیشتر از نوع این حملات این

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.
را مطالعه کنید

به اشتراک گذاری این ارسال

لینک به ارسال
به اشتراک گذاری در سایت های دیگر

dead_silyutls 0

dead_silyutls
ارسال شده در
سلام دوست عزیز برای اطلاع بیشتر از نوع این حملات این
برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.
را مطالعه کنید

 

با تشکر از شما دوست خوبم

این مقاله که فرمودید داره بیس کار باگ xss رو اموزش میده و متاسفانه اون سایت مد نظر بنده بطور کلی نتنها از این باگ مستثنی هست بلکه بشدت جلوی اجرای کدهای جاوا اسکریپت رو گرفته.

و منظور بنده این بوده که کدی رو سمت سیستم مدیر اون سایت اجرا کنم که بتونه اطلاعاتش رو برای بنده به مقصد خاصی بفرسته وگرنه خود اون سایت این اجازه رو نمیده و با کدهای جاوا اسکریپت همانند یک متن ساده رفتار میکنه.

از تک تک کارهای که انجام میدهید لذت ببرید اگر منتظر اتمام کاری هستید بدانید شروع کار دیگری در انتظار توست و این انتظار اتمام عمر توست.

به اشتراک گذاری این ارسال

لینک به ارسال
به اشتراک گذاری در سایت های دیگر

Wikto 1

Wikto
ارسال شده در

دوست گرامی برای اجرای عملیات فوقی که ذکر کردید بنده تنها ابزار خوبی که در این زمینه میشناسم ابزار CrabStick می باشد

تجزیه و تحلیل آسیب پذیری خودکار LFI / RFI و بهره برداری از آن می باشد که می توانید با رجوع به صفحه

برای مشاهده این بخش نیازمند ثبت نام و یا ورود به حساب کاربری خود میباشید.
نصب و طریقه عملکرد را مشاهده کنید

موفق باشید

به اشتراک گذاری این ارسال

لینک به ارسال
به اشتراک گذاری در سایت های دیگر

به گفتگو بپیوندید

هم اکنون می توانید مطلب خود را ارسال نمایید و بعداً ثبت نام کنید. اگر حساب کاربری دارید، برای ارسال با حساب کاربری خود اکنون وارد شوید .

مهمان
ارسال پاسخ به این موضوع ...

×   شما در حال چسباندن محتوایی با قالب بندی هستید.   حذف قالب بندی

  تنها استفاده از 75 اموجی مجاز می باشد.

×   لینک شما به صورت اتوماتیک جای گذاری شد.   نمایش به صورت لینک

×   محتوای قبلی شما بازگردانی شد.   پاک کردن محتوای ویرایشگر

×   شما مستقیما نمی توانید تصویر خود را قرار دهید. یا آن را اینجا بارگذاری کنید یا از یک URL قرار دهید.

×
برو به فهرست موضوع ها

تاریخچه انجمن امنیتی ایران سایبر

شرکت امنیتی ایران سایبر با بکار گیری افراد متخصص در حوزه امنیت و ارائه راه کار در زمینه امنیت شبکه و امنیت بانک های اطلاعاتی در سال ۲۰۰۹ کار خود را آغاز نمود.

این شرکت با تعریفی جدید از ارائه خدمات و مشاوره در حوزه امنیت سازمان ها و مراکز، تست نفوذ، و برنامه نویسی در تعاملی سازنده با سازمان ها، مشتری مداری را سرلوحه کار خود قرار داده و آماده همکاری با شرکت ها و ارگان های مختلف می باشد.

آدرس های داخلی شرکت

آدرس های داخلی شرکت

رعایت قوانین

شرکت و انجمن امنیتی ایران سایبر با توجه به حضور مجاز و رسمی در محافل امنیتی و شرکت های ارزیابی امنیت ملزم به رعایت قوانین بوده و کاربران انجمن نیز ملزم به رعایت قوانین جمهوری اسلامی ایران میباشد.

×
×
  • اضافه کردن...