PHPKIT SQL Injection Cross Site Scripting Vulnerability

Iniciado por Don Kaka, 24 Noviembre 2004, 12:46 PM

0 Miembros y 1 Visitante están viendo este tema.

Don Kaka

holaz, weno el asunto es el siguiente como dice el titulo, busqué algunas webs que trabajaran con PHPKIT encontré algunas, e inyecte el siguiente codigo XSS

http://www.victima.com/phpkit/popup.php?img="><script>alert(document.cookie)</script>

y salió lo siguiente ...





lo que pasa es que ahora no sé que hacer con eso :s, veo que eso puede ser el user y el md5, pero no estoy seguro.

no se si ustedes que saben mas que yo me podrían orientar.

chaoz.

._hack1ng iz n0t a crim3._

zhyzura

no estas tan lejos...

si te fijas donde dice: user_name ya tienes el nombre solo te falta crackear el md5 de: user_pw para esto te dejo los siguientes enlaces:

descifrar md5
http://foro.elhacker.net/index.php?board=5;action=display;threadid=13639

Manual Mdcrack-PARA MI el mejor crackeador de MD5- por chiflon
http://foro.elhacker.net/index.php/topic=30367.0

Crackeando MD5
http://foro.elhacker.net/index.php?board=23;action=display;threadid=18547;start=msg96083#msg96083

saludos

Don Kaka

#2
gracias zhyzura, pero ahora tengo otra duda, lo que pasa es que enontré otra web con PHPKIT y le inyecté el codigo XSS, y sale el mismo user_name que es Gast. que pasa kon eso??.

otra duda: kizas se pueda ingresar directamente con el hash md5 komo se hacía con phpnuke? o no?

._hack1ng iz n0t a crim3._

codebreak



W4ck1ng Team Member

FeRmO

Si si esta muy bien ese ataque ataque xss

Citarhttp://www.victima.com/phpkit/popup.php?img="><script>alert(document.cookie)</script>


Pero que quieres saber tu cookie???

Tendras que enviar ese link a la persona que quieras atakar para saber su cookie. Bueno ese link exacto no xD, pasate por la sección de tutoriales y mira ataques xss hay tienes todo lo que necesitas para comprender y realizar el ataque :D

Salu2.
FeRmO