[Задай Вопрос - Получи Ответ]

Discussion in 'Веб-уязвимости' started by Rombl4, 17 Nov 2008.

  1. ExQ

    ExQ Banned

    Joined:
    8 Apr 2010
    Messages:
    17
    Likes Received:
    9
    Reputations:
    0
    какие шеллы попроще wso есть ?
     
  2. karkajoi

    karkajoi Well-Known Member

    Joined:
    26 Oct 2016
    Messages:
    450
    Likes Received:
    354
    Reputations:
    5
    ExQ likes this.
  3. Gigggs

    Gigggs New Member

    Joined:
    12 Jan 2017
    Messages:
    15
    Likes Received:
    0
    Reputations:
    0
    Всем Добра!
    Подскажите пожалуйста аналог WhatWaf , может есть что по новее , или аналоги , я понимаю что руками в основном обходят сейчас , но если не трудно подскажите пожалуйста , или может можно ее как то дополнить обновлениями.
    Спасибо!
     
  4. Baskin-Robbins

    Baskin-Robbins Reservists Of Antichat

    Joined:
    15 Sep 2018
    Messages:
    236
    Likes Received:
    796
    Reputations:
    212
    есть такой еще
    https://github.com/EnableSecurity/wafw00f
     
    seostock likes this.
  5. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    500
    Likes Received:
    95
    Reputations:
    24
    Привет помогите что можно сделать, нахожусь в <script> пропускает <> без " как мне закрыть этот <script> и выполнить XSS

    Code:
    <script>
    var a = "<\/script>asdf...";
    </script>
    а если с пробелом < /script> тогда норм но уже не работает

    Code:
    <script>
    var a = "< /script><script>alert(9)//";
    </script>
     
  6. BigBear

    BigBear Escrow Service
    Staff Member Гарант - Escrow Service

    Joined:
    4 Dec 2008
    Messages:
    1,792
    Likes Received:
    881
    Reputations:
    859
    Судя по всему, ты полностью контролируешь переменную "a".
    Тогда проще всего будет сделать инжект внутри <script>, ты же уже там.

    Попробуй payload =
    Code:
    a"+alert(100)+"b
    Чтобы получилось

    Code:
    <script>
    var a = "a"+alert(100)+"b";
    </script>
     
    _________________________
  7. Octavian

    Octavian Elder - Старейшина

    Joined:
    8 Jul 2015
    Messages:
    500
    Likes Received:
    95
    Reputations:
    24
    нахожусь в <script> пропускает <> без "
     
  8. viper710

    viper710 New Member

    Joined:
    19 Jul 2022
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Добрый день.
    Подскажите пожалуйста, как лучше сделать. Имею доступ к базе данных ( логин/пароль есть). Пытаюсь залить шелл по: https://forum.antichat.com/threads/307894/
    Но возникает проблема в phpmyadmin "Ошибка в запросe (1045): Access denied for user..."
    Пробую залить шелл с картинкой вместе через админку сайта, но при заливке картинки двиг перезаписывает картинку и открыть я ее не могу, маленький квадратик. Хотя код в картинке сохранен.
     
  9. KIR@PRO

    [email protected] from Exception

    Joined:
    26 Dec 2007
    Messages:
    825
    Likes Received:
    287
    Reputations:
    359
    1) учетка от базы не имеет file_priv
    2) "но при заливке картинки двиг перезаписывает картинку и открыть я ее не могу" - попробуйте описать более внятно ))) не совсем понятно что означает "перезаписывает", если дальше пишете что "код в картинке сохранен"... Не достаточно просто иметь в картинке код. Необходимо что бы его интерпретировал движок или библиотека которой обрабатывается картинка. Если этого не происходит, то и код не выполнится. К тому же зачастую, из картинок удаляется всё "лишнее" перед сохранением.
     
    _________________________