| BlackLotus |
|
 |
 |
| Anmeldedatum: 04.01.2006 |
| Beiträge: 717 |
| Wohnort: www and 127.0.0.1/localhost |
|
|
|
|
 |
|
Die Tutorials in diesem Forum sollen keine Anleitung zur Kompromittierung von Serverdiensten geben. Der Leser sollte sich bemühen, Sicherheitslücken zu erkennen und zu beheben - zu diesem Zweck werden diese Tutorials geschrieben. Bitte verwendet die hier gezeigten Methoden nicht für illegale Aktivitäten.
Also noch ein TUT von mir 
Gästebuch und Shoutbox Lücken 
Ich hab das in vielen meiner Beiträge schon angeschnitten nie aber genau erläutert.
Also los auf jeder guten HP gibt es was?
Richtig ein Forum,bzw. Gästebuch oder auch eine Shoutbox.
Diese 3 Dinge sind immer potentielle Schwachstellen,alle aus diesem Forum müssten das zwar kennen aber ich schreibe dieses TUT trotzdem nieder^^
1)Was für Lücken gibt es?
2)Wie kann man sie am besten nutzen ohne das es auffällt?
3)Ausnutzen der Lücken!(Praxis)
_____________________________________________________
1)
Macht mal probeweise einen Eintrag.Dieser sollte ca. so aussehen:
| Code: |
Name: >"BlackLotus"<
email: maxmusterm@gmail.com"></a><a href="
Homepage:http://google.de"></a><a href="
Nachricht:BlaBlac mfG >"BlackLotus"<
|
Danach ab in den Quelltext und nach BlackLotus,maxmusterm,google und mfG suchen.
Sobald ihr entdeckt habt,dass ein Eintrag nicht validiert wurde freuet euch
Falls die erste Möglichkeit nicht gehen sollte nicht verzagen!Auch hierrauf meine Antwort.Erstellt eine html Datei.Durchsucht den Quelltext nach dem inputfenster für den Namen und den Nachrichtentext und merkt euch die bezeichnung ide nach dem nam=" kommt.Sucht im Quelltext nach der form und mekrt euch den action-wert setzt aus diesem und der URL die komplette form-action-url zusammen.
Der Quelltext eurer html Datei sollte so aussehen:
Die html Datei sollte so aus
| Code: |
<html>
<body>
<form action="form-action-url" name="senden" method="post">
<input name="name" value='"><script>alert(document.cookie)</script>'>
</form>
<script>document.senden.submit()</script>
</body>
</form>
|
Startet die jetzt einmal lokal und guckt ob eine messagebox erscheint,wenn ja habt ihr es geschafft wenn nein ändert den Quelltext so um,dass statt name="name" name="textboxinhalt" da steht,noch ein Test und... gehts?Wenn nein probiert es mit allen Feldern aus.Sobald es geht habt ihr eine potentielle Lücke gefunden.
Das war Teil1 meines 3teiligen TUTs morgen gibt es Teil 2 Bewertung wäre nett Copyleft by BlackLotus
have fun |
|
