Sacar código de .do mediante script

kama · 28 Abril 2011, 16:52 PM

Llevo unos días viendo pags del foro sobre como obtener el código fuente del servidor.... Tras buscar en internet he descubierto un servidor que acepta XSS y he probado a poner un script en plan alert("Funciona") y si que funciona.

Quería sacar el código fuente y para hacerlo lo único que he encontrado es mediante rfi, pero no me lo permite, o eso creo.

He probado a poner <script>show_source("login.do")</script> , claro que eso tampoco funciona y sospecho el porqué....

Bueno, se os ocurre alguna forma de que vea el código fuente mediante script...

Estoy empezando a aprender php...no me lo tengáis en cuenta...

->> Me he colado y no lo he puesto en el subforo de web...por favor, movedlo...Gracias!
Gracias! (por cierto..este foro se ha convertido en mi mejor amigo los últimos días....hay muchiiisima información!)

kama · 28 Abril 2011, 19:13 PM

He seguido buscando...a los que saben de javascript...
esto os suena bien??

Código [Seleccionar]

<script>document.getSource.url.value</script>

Eso tendría lógica que no mostrase el código...así que lo metí todo dentro de un alert...así:

Código [Seleccionar]

alert(<script>document.getSource.url.value)</script>

Pero tampoco...

Os recuerdo que es XSS y que estoy metiendolo en un campo...

Ca0s · 28 Abril 2011, 20:25 PM

Con una vulnerabilidad a nivel de cliente es jodido que puedas conseguir el source de la web. Puedes intentar colarle el XSS al admin y a partir de ahí echarle originalidad y quizás lo consigas, pero suerte.

Test Foro de elhacker.net SMF 2.1

Sacar código de .do mediante script

kama

kama

Ca0s