Sacar código de .do mediante script

Iniciado por kama, 28 Abril 2011, 16:52 PM

0 Miembros y 1 Visitante están viendo este tema.

kama

Llevo unos días viendo pags del foro sobre como obtener el código fuente del servidor.... Tras buscar en internet he descubierto un servidor que acepta XSS y he probado a poner un script en plan alert("Funciona") y si que funciona.

Quería sacar el código fuente y para hacerlo lo único que he encontrado es mediante rfi, pero no me lo permite, o eso creo.

He probado a poner <script>show_source("login.do")</script> , claro que eso tampoco funciona y sospecho el porqué....

Bueno, se os ocurre alguna forma de que vea el código fuente mediante script...

Estoy empezando a aprender php...no me lo tengáis en cuenta... :P


->> Me he colado y no lo he puesto en el subforo de web...por favor, movedlo...Gracias!
Gracias! (por cierto..este foro se ha convertido en mi mejor amigo los últimos días....hay muchiiisima información!)

kama

He seguido buscando...a los que saben de javascript...
esto os suena bien??

<script>document.getSource.url.value</script>

Eso tendría lógica que no mostrase el código...así que lo metí todo dentro de un alert...así:

alert(<script>document.getSource.url.value)</script>

Pero tampoco...

Os recuerdo que es XSS y que estoy metiendolo en un campo...

Ca0s

Con una vulnerabilidad a nivel de cliente es jodido que puedas conseguir el source de la web. Puedes intentar colarle el XSS al admin y a partir de ahí echarle originalidad y quizás lo consigas, pero suerte.