Salamlar .. Son günlərdə forumda bu sual çox verilir : "Hədəfin İP adresini necə tapa bilərəm ? "
+ PM`dada suallar bitmək bilmir ))) + Ancaq İP`yə aid ..
Nəisə keçək məsələyə .. Çox adam YouTube-dən baxıb CMD ilə İP almaq istəyirlər .. Commandları yerinə yetirirlər və ekrana nəqədər İP çıxır .. Adamda deyirki " Neynədim ƏƏƏ)) NÇ NÇ NÇ )) Əjdahayamki ) " .. Amma burda ekrana çıxan hədəfin İP`si deyil .. Server - un zadın İP`ləridir ..
İndi isə real İP ncə ala bilərsiz onu göstərəcəm ... Bunuçün host`da PHP fayl yaradın və linki hədəfə göndərin .. Bununlada host`da hedefler.html adlı fayl yaranır və Hədəfin İP`si orda olur ..
Guyaki php fayl : a.php
Linki : hostunuz.xx/a.php
Linki verirsiz hədəfə hədəfdə girir və hossta hedefler.html adında fayl yaranır .. Hədəfin İP`sidə orda yazılır ..
Burda Xss var. Elə sənin özünü tutmaq 2x2 di başqa sayta redirect verdirməklə, çünki .html+unfiltered data contentə yazılır.
özün qurban olmaq istəmirsənsə , sanitasiya et.
X_Forwarded_for unutmusan ;)
Vətən Sağ olsun!
Duman salamat qal, Dağ salamat qal..
Sitat#43669PuN!Sh3r :
Burda Xss var. Elə sənin özünü tutmaq 2x2 di başqa sayta redirect verdirməklə, çünki .html+unfiltered data contentə yazılır.
özün qurban olmaq istəmirsənsə , sanitasiya et.
X_Forwarded_for unutmusan ;)
Belə baxdaa girəndə ağ səhifə açılır .. Hədəfdəki belə baxa baxa qalır ..
Mən bunu öz hostuma tullamışam amma bunun olduğu papkaya index.php - da atmışam .)) Yəniki a.php siləndən sonra faylları görmür ))) Sadəcə index gğrür ..
Buda index.php :
Kod:
header(location : "https://www.google.com/") ;
- LoLLL )))
Yəni hədəf a.php vəya hedefler.html görmür orda.. Yəniki normal bir hədəfçün yararlıdı .. Əjdaha kimilərə qarşı bunu işlədən kimdiki )))
Hələ istəyirdimki , DB`a zada insert elətdirən kod yazım))) .. İstədiyini sil istəyin qalsın .. Yəni sözüm ora gəlirki problemli kod deyil adi adama görə .. İşlətmək olar və 100 faiz nəticə verir ..
Fərqi yoxdu. Artıq x forwarded for user inputdu və sanitaziya olmadan .html a yazıllr.
Request bunu əlavə etsə iş bitəcək: <script>window.location="http://tapmeni.com"; </script>
Sitat#43669PuN!Sh3r :
Burda Xss var. Elə sənin özünü tutmaq 2x2 di başqa sayta redirect verdirməklə, çünki .html+unfiltered data contentə yazılır.
özün qurban olmaq istəmirsənsə , sanitasiya et.
X_Forwarded_for unutmusan ;)
Belə baxdaa girəndə ağ səhifə açılır .. Hədəfdəki belə baxa baxa qalır ..
Mən bunu öz hostuma tullamışam amma bunun olduğu papkaya index.php - da atmışam .)) Yəniki a.php siləndən sonra faylları görmür ))) Sadəcə index gğrür ..
Buda index.php :
Kod:
header(location : "https://www.google.com/") ;
- LoLLL )))
Yəni hədəf a.php vəya hedefler.html görmür orda.. Yəniki normal bir hədəfçün yararlıdı .. Əjdaha kimilərə qarşı bunu işlədən kimdiki )))
Hələ istəyirdimki , DB`a zada insert elətdirən kod yazım))) .. İstədiyini sil istəyin qalsın .. Yəni sözüm ora gəlirki problemli kod deyil adi adama görə .. İşlətmək olar və 100 faiz nəticə verir ..
Vətən Sağ olsun!
Duman salamat qal, Dağ salamat qal..
Sitat#43707PuN!Sh3r :
Fərqi yoxdu. Artıq x forwarded for user inputdu və sanitaziya olmadan .html a yazıllr.
Request bunu əlavə etsə iş bitəcək: <script>window.location="http://tapmeni.com"; </script>
Sitat#43669PuN!Sh3r :
Burda Xss var. Elə sənin özünü tutmaq 2x2 di başqa sayta redirect verdirməklə, çünki .html+unfiltered data contentə yazılır.
özün qurban olmaq istəmirsənsə , sanitasiya et.
X_Forwarded_for unutmusan ;)
Belə baxdaa girəndə ağ səhifə açılır .. Hədəfdəki belə baxa baxa qalır ..
Mən bunu öz hostuma tullamışam amma bunun olduğu papkaya index.php - da atmışam .)) Yəniki a.php siləndən sonra faylları görmür ))) Sadəcə index gğrür ..
Buda index.php :
Kod:
header(location : "https://www.google.com/") ;
- LoLLL )))
Yəni hədəf a.php vəya hedefler.html görmür orda.. Yəniki normal bir hədəfçün yararlıdı .. Əjdaha kimilərə qarşı bunu işlədən kimdiki )))
Hələ istəyirdimki , DB`a zada insert elətdirən kod yazım))) .. İstədiyini sil istəyin qalsın .. Yəni sözüm ora gəlirki problemli kod deyil adi adama görə .. İşlətmək olar və 100 faiz nəticə verir ..
Bəs səncə istənilən adam , burdan məni tuta bilər ?) Təbiiki , yox.