• XSS.stack #1 – первый литературный журнал от юзеров форума

Проблема

Отслеживать
k1ddddos

k1ddddos

(L3) cache
Пользователь
Регистрация
02.05.2023
Сообщения
290
Реакции
43
Всем огромный привет форумчане!
Я в хакинге нахожусь около 3 лет скитался по ютубу, курсы покупал в даркнете, но до сих пор я не могу взломать ничего даже админку. Потом выяснил ошибку я не знал уязвимостей сейчас знаю хорошо некоторые xss,LFI, sqli ну и еще там, так вот у меня не получается почему то за юзать допустим xss сначала тренируюсь на dvwa знаю <script>alert(“xss”)</script> и на сайте у которого есть xss не получается вызвать алерт что делать было уже выгорание несколько раз
 
Если не реагирует на <script>alert() смотри что вернул сервер после того как ты отправил этот payload, посмотри какие символы отфильтровались для этого можешь юзать Burp Suite или просто Inspect element в браузере. Может фильтруется только тэг script, когда определишь что конкретно фильтруется можешь подбирать payload, если фильтруется тэг script можешь использовать payload'ы типа <img src=1 onerror=alert()> и т.д. Если фильтруются слова по типу document, window, alert можешь сконвертировать свой js payload с помощью jsfuck. Например если фильтруется тэг script и слово alert, а alert надо вызвать можешь сконвертировать alert() и получишь последовательность из 6 различных символов тогда твой payload будет выглядеть примерно так: <img src=1 onerror="[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!......">
 
utsy21 сказал(а):
не только на <script>alert(“xss”)</script> реагирует скинь сайт помогу и скажу как вызвал
Я ввожу на сайте https://host.com/<script>alert(“xss”)</script>
Но в burp suite
GET-запрос выглядит вот таким /%3Cscript%3Ealert(%22xss%22)%3C/script%3E
И после этого он мне присылает not acceptable, мне надо обойти WAF получается?
 
DrClinker сказал(а):
Если не реагирует на <script>alert() смотри что вернул сервер после того как ты отправил этот payload, посмотри какие символы отфильтровались для этого можешь юзать Burp Suite или просто Inspect element в браузере. Может фильтруется только тэг script, когда определишь что конкретно фильтруется можешь подбирать payload, если фильтруется тэг script можешь использовать payload'ы типа <img src=1 onerror=alert()> и т.д. Если фильтруются слова по типу document, window, alert можешь сконвертировать свой js payload с помощью jsfuck. Например если фильтруется тэг script и слово alert, а alert надо вызвать можешь сконвертировать alert() и получишь последовательность из 6 различных символов тогда твой payload будет выглядеть примерно так: <img src=1 onerror="[][(![]+[])[+[]]+(![]+[])[!+[]+!+[]]+(![]+[])[+!......">
Можешь подсказать как фильтровать из в burp suite?
 
k1ddddos сказал(а):
Можешь подсказать как фильтровать из в burp suite?
Извини но мне лень записывать видеоролик, есть великолепнейншие видосики на ютубе с канала CTF в Петербурге
. Вот сайт с тасками https://web-kids20.forkbomb.ru/tasks/ только выбери именно таски на xss, если не знаешь как решить сначала пытаешься хотя бы минут 30 потом смотришь решение потому что решение некоторых это такие фишки до которых не так просто допереть.
 
DrClinker сказал(а):
Извини но мне лень записывать видеоролик, есть великолепнейншие видосики на ютубе с канала CTF в Петербурге
. Вот сайт с тасками https://web-kids20.forkbomb.ru/tasks/ только выбери именно таски на xss, если не знаешь как решить сначала пытаешься хотя бы минут 30 потом смотришь решение потому что решение некоторых это такие фишки до которых не так просто допереть.
Понял огромное тебе спасибо
 
CCod сказал(а):
нужно уделять практике большую часть времени,не ютуб смотреть а решать стфки
Это понятно, мне надо освоить барп и некоторые уязвимости и потом только практика и еще раз практика
 
Пожалуйста, обратите внимание, что пользователь заблокирован
k1ddddos сказал(а):
Я ввожу на сайте https://host.com/<script>alert(“xss”)</script>
Но в burp suite
GET-запрос выглядит вот таким /%3Cscript%3Ealert(%22xss%22)%3C/script%3E
И после этого он мне присылает not acceptable, мне надо обойти WAF получается?
в поле ввода надеюсь? прописать алерты после / не прокатывает ну типо х#йня https://host.com/<alert> тебе нихуя не вызовет
 
Последнее редактирование:
А как тогда если в полях ввода идет жесткий фильтр там не получается через поля ввода
utsy21 сказал(а):
в поле ввода надеюсь? прописать алерты после / не прокатывает ну типо х#йня https://host.com/<alert> тебе нихуя не вызовет
 
k1ddddos сказал(а):
А как тогда если в полях ввода идет жесткий фильтр там не получается через поля ввода
Модфикация запроса на лету. Например через Burp Interceptor(короче перехватчик запросов). Либо же просто в браузере смотришь какой запрос отправился, копируешь как cURL, модифицируешь его и исполняешь
 
Для начала разберись с чем ты вообще работаешь и что это такое, xss впринципе невозможен без SSR, если исключить dom xss. То есть чисто по использованным технологиям уже можно понять будет это работать или нет, сами xss(reflected, stored) при условии ssr фильтруются просто средствами языка и обычно никто не пишет собственный regex фильтр для этой задачи, как говорят ребята выше. Зачастую это strip_tags и html_escape в том же php(возможно с названиями напутал). Посмотреть отработало это или нет вполне можно просто в ответе сервера, либо уже на зарендеренной странице через dev tools.

Так же из очевидного я вижу что если переданные тобой параметры, будь то часть uri, query, или просто data post запроса не отображаются на конечной странице то и xss ты никогда не получишь, потому что xss работает в браузере. Ну и по сути ты методом исключения можешь уже прийти к разумному выводу.

Так что я могу тебе посоветовать только глубже разобраться в вопросе, можешь например курс https://portswigger.net/ пройти, он бесплатный.
 
Последнее редактирование:
G1fl3x сказал(а):
Для начала разберись с чем ты вообще работаешь и что это такое, xss впринципе невозможен без SSR, если исключить dom xss. То есть чисто по использованным технологиям уже можно понять будет это работать или нет, сами xss(reflected, stored) при условии ssr фильтруются просто средствами языка и обычно никто не пишет собственный regex фильтр для этой задачи, как говорят ребята выше. Зачастую это strip_tags и html_escape в том же php(возможно с названиями напутал). Посмотреть отработало это или нет вполне можно просто в ответе сервера, либо уже на зарендеренной странице через dev tools.

Так же из очевидного я вижу что если переданные тобой параметры, будь то часть uri, query, или просто data post запроса не отображаются на конечной странице то и xss ты никогда не получишь, потому что xss работает в браузере. Ну и по сути ты методом исключения можешь уже прийти к разумному выводу.

Так что я могу тебе посоветовать только глубже разобраться в вопросе, можешь например курс https://portswigger.net/ пройти, он бесплатный.
Огромное спасибо, курс прохожу и постепенно что то новое познаю
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх