mercredi 30 juin 2010

IframeInj SHELL est un shell que j'ai codé dans le but d'exploiter les injections d'iframe avancées, vous pouvez le comparer à l'utilité des Shell XSS.

Ce Shell permet donc d'interagir avec les connectés en temps réel en utilisant des fonctions tels que :
- L'attaques par HTTP
- Exécuter du code dans l'iframe (il est donc possible de beaucoup de choses par l'utilisateur, le choix est totalement libre...)
- Modifier le temps de rafraichissement et les tailles de l'iframe injectée
- Faire crasher le navigateur

A partir des fonctions pré-définis vous pouvez déjà faire pas mal de choses mais l'avantages est de pouvoir exécuter votre propre code ce qui rend la vision de fonction beaucoup plus large.

Comme dis ci-dessus ce Shell est utilisé pour les injections avancées (injection permanente avec possibilité d'utiliser PHP, injection via un shell...) si le PHP n'est pas utilisé dans le code d'iframe, la taille de celle-ci ainsi que le temps de rafraichissement ne peuvent se faire à distance et devront donc être changé à la main...

Code exemple d'iframe compatible avec le shell :



Pour une démonstration, une video (mettre en FullScreen) :


Telecharment :
IframeInj Shell 1.0 : http://www.megaupload.com/?d=UG72ME4C
Vidéo démonstration : http://www.megaupload.com/?d=GMVDD4S0