Чаты Проверка на уязвимости

Discussion in 'Веб-уязвимости' started by Koller, 11 Apr 2007.

Thread Status:
Not open for further replies.
  1. AnubiX

    AnubiX New Member

    Joined:
    25 Jun 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Ув. господа.
    Помогите, плиз, сломать чат.

    1. Линк: www.chat.od.ua
    2. Название движка, к сожалению, не знаю.
    3. Раньше время от времени баловался, разговаривая в этом чате от имени других людей. Зарегистрированных не трогал, а над гостями-флудерами прикалывался. В этом чате есть файлик "http://www.chat.od.ua/cgi-bin/enter.cgi". Я сохранял его на компе и ставил расширение файла html. В этом файле есть строчка "<input type="hidden" name="session" value="7449_juoIx47MCo">". Этот самый "value" по-идее определяет самого человека. Раньше я ставил туда имя нужного участника, писал в форме всякую похабень, нажимал "отправить" и все, что я написал в чате выходило от имени, стоящего в "value". Потом долгое время чат был в дауне, теперь снова стал обживаться. Но теперь такая фишка не проходит, чат говорит мне о том, что "идентификатор сессии некорректен". Можно входить от имени необходимого пользователя, но тогда сразу становится ясно, что в чате кто-то посторонний, да и при этом нельзя говорить одновременно от имени двух пользователей.
    Помогите, плиз. Мне всего лишь нужен доступ к общению от имени незарегеных пользователей. И заодно защита от бана. ::) Помогите, плиз.
    4. Тестовый логин: Betta, пароль: aaaaaa.
     
  2. AnubiX

    AnubiX New Member

    Joined:
    25 Jun 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    И еще одна просьба. Зная логин и пароль, подскажите, плиз, как в этом чате сказать фразу зарегистрированным посетителем, не входя в чат.
     
  3. Morgan

    Morgan New Member

    Joined:
    18 Jun 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://www.odintsovo.info
    2) Какой движок незнаю, не видел такого нигде... написано, что сами сделали...asp. может подскажите?
    3) Хочу получить админку. админов там походу вообще нет, потому, что на просьбы устранить глюки они не реагируют, да и на вопросы не отвечают... молчат как партизаны. Если я не ошибаюсь там плохая фильтрация в поиске.
    4) Тестовый логин - hak / пароль - test
     
  4. Constantine

    Constantine Elder - Старейшина

    Joined:
    24 Nov 2006
    Messages:
    799
    Likes Received:
    710
    Reputations:
    301
    поиск действительно не фильтруется..
    Code:
    http://www.odintsovo.info/main/search.asp?q=%3Cscript%3Ealert%28%27xss%27%29%3C%2Fscript%3E&x=0&y=0
    Что касается двига, то имхо самописный
     
  5. mad_SinneR

    mad_SinneR New Member

    Joined:
    15 Apr 2007
    Messages:
    4
    Likes Received:
    0
    Reputations:
    0
    1) http://chat.nn.ru/index.php
    2) не известно
    3) я в этом еще не опытен
    4) GrandMaster/12853
     
  6. @ps1k

    @ps1k Member

    Joined:
    24 Apr 2007
    Messages:
    70
    Likes Received:
    21
    Reputations:
    10
    http://chat.webimperia.eu/
    log:savin
    pass:12121212
     
  7. bloodAngel

    bloodAngel Banned

    Joined:
    29 Jun 2007
    Messages:
    23
    Likes Received:
    25
    Reputations:
    -1
    1 www. chat.uamafia.com
    2 хз
    3 Треба провчити урода админа! свох сил нехвотает пока....!!!нужно найти любые дыры чтоб палучить прва администратора!!!
    4 log! dark lord/ 123654
    Fenks :)
     
    3 people like this.
  8. Kaban

    Kaban Elder - Старейшина

    Joined:
    19 Mar 2006
    Messages:
    248
    Likes Received:
    78
    Reputations:
    14
    voodoo chat. дыры и способы всзлома ищи в поиске по форуму.
    http://chat.uamafia.com/password_reminder.php/?look_for=%3Cscript%3Ealert(/xss/);%3C/script%3E
     
  9. neksys

    neksys Banned

    Joined:
    6 Apr 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    пожалуйста проверти чат 1..http://wap-chat.ru/c.php
    2 незнаю
    3 нечего полній профан
    ник neksys pass 270689
    4 стать админом плиз
     
  10. Zolden

    Zolden Elder - Старейшина

    Joined:
    24 Jun 2007
    Messages:
    232
    Likes Received:
    37
    Reputations:
    -2
    www.8u.ru
    джижок августовский
    ломать его не хочу, а хотелось бы узнать что в нем вобще можно на творить (флуд, просмотр чужих сообщений ну и т.д)
     
  11. MABPuK

    MABPuK New Member

    Joined:
    6 Sep 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    1)http://mpchat.ru/yula/
    2)У них вроде свой движок - mpchat2 (как я понял,а сейчас выходит новый mpchat3)
    3)У них банят без причины. Нужно найти лекарство против бана и всё что возможно :rolleyes:
    4)Логин : MABPuK Пасс : 99097997
     
    #31 MABPuK, 7 Sep 2007
    Last edited: 7 Sep 2007
  12. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    721
    Likes Received:
    142
    Reputations:
    50
    у всем кто юзает mpchat свои движки :D
     
  13. marader2007

    marader2007 New Member

    Joined:
    21 Sep 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    1) http://nik-chat.net/
    2) движок незнаю....
    3) оч нужно найти уязвимость.....
    свох сил нехвотает пока....нужно найти любые дыры чтоб палучить права администратора или хотяб админа KORO. для входа
    4)
    логин:M@T@DoR пароль:2445
    Заранее блогодарен.
     
  14. Kaban

    Kaban Elder - Старейшина

    Joined:
    19 Mar 2006
    Messages:
    248
    Likes Received:
    78
    Reputations:
    14
    чат на движке бородина. думаю этим все сказано. поищи по форуму темы... но думаю ты ничего не найдешь.
     
  15. marader2007

    marader2007 New Member

    Joined:
    21 Sep 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Спасибо!
    приму к сведению!
     
  16. Web-Evt

    Web-Evt New Member

    Joined:
    1 Jun 2007
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    1) http://www.chatinet.zp.ua
    2) Неизвестен, скорей всего самописный ;)
    3) Пытался расшифровать хэш юзера..не вышло ;) В нем хранится логин, пароль и еще какие-то рандомные данные, например дата захода. Если узнать хэш юзера, то можно потом сменить любые данные этого юзера..
    4) AChat - 32176
     
  17. DRON-ANARCHY

    DRON-ANARCHY Отец порядка

    Joined:
    4 Mar 2005
    Messages:
    721
    Likes Received:
    142
    Reputations:
    50
    нихрена он не самописный... не помню че за двиг, но все-таки это двиг)
     
  18. experrrt

    experrrt New Member

    Joined:
    29 Mar 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    http://www.love-chat.ru/
    login: 999999
    pass: 999999

    заранее спасибо ....
     
  19. d1aVOL

    d1aVOL Elder - Старейшина

    Joined:
    29 Jul 2007
    Messages:
    37
    Likes Received:
    6
    Reputations:
    0
    1) http://www.chathome.ru/klukva/
    2) неизвестно (хочу узнать:)))
    3) скажите хотябы какой у него движок..
    4) login: test_1 pass: test
     
  20. vev

    vev New Member

    Joined:
    21 Nov 2007
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    1. http://www.galachat.com/
    2. не знаю (интересует версия ява-чата)
    3. взлом пароля, или хотябы стабильный угон ника через SID (иногда сниффер античатовский ловит сид юзеров зашедших по ссылке на сниф в чате, но очень редко (чем это можно объяснить?))
    4. ник любой (если не используется уже).... например: например, пароль не нужен
     
Loading...
Thread Status:
Not open for further replies.