Tweet
Há algum tempo eu havia postado uma Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... que mostrava como "solução" aos websites que realmente não fazia possível se enviar uma shell ao servidor, o redirecionamento.
Porém, muitos acreditam que "redirecionamento não é deface" (logicamente, já que você não desfigura a página). Então, na mesma matéria, sugeri usar iFrame, alegando ainda que não eram bem renderizados pela maioria dos browsers.
Além disso, há outro problema com iframes: se ele está em uma div (ou célula), mesmo que você configure a largura e altura para 100%, este tamanho será limitado ao tamanho da div/célula onde ele está.
Muitos enfrentam este problema e simplesmente alteram apenas os textos da página.
Então, vou mostrar uma maneira de se "enganar" os apreciadores do seu deface, fazendo-os acreditar que você realmente desfigurou o site, quando na verdade o conteúdo legítimo do mesmo está escondido atrás de sua defacepage.
A lógica é simples: vamos criar uma tabela que preencha toda a área da tela, com fundo não-transparente (neste caso, preto) e que se sobreponha ao conteúdo do site, não importando a localização do código da mesma. Barras de rolagem? Sim, elas continuarão, mas ficarão sem ação. Isto quer dizer que, como a nossa tabela é fixa, por mais que o visitante role a página, o conteúdo da mesma não se modificará.
Veja nosso código:
Esta aí a solução para quem não upou shell, mas não quer perder a "classe". Para funcionar, isto estará em qualquer lugar. Pode ser no título de uma notícia que aparece na página inicial ou em outro lugar de destaque, se for vulnerável a XSS, é claro.
Substitua "HACKEADO POR NINGUÉM" pelo conteúdo de sua defacepage, podendo ser textos, imagens, conteúdo em flash ou outro tipo de mídia.
O código acima foi adaptado da versão em BBCode utilizada para "ownar" páginas de tópicos de fóruns do forumeiros. Veja a versão original:
Até mais!
Porém, muitos acreditam que "redirecionamento não é deface" (logicamente, já que você não desfigura a página). Então, na mesma matéria, sugeri usar iFrame, alegando ainda que não eram bem renderizados pela maioria dos browsers.
Além disso, há outro problema com iframes: se ele está em uma div (ou célula), mesmo que você configure a largura e altura para 100%, este tamanho será limitado ao tamanho da div/célula onde ele está.
Muitos enfrentam este problema e simplesmente alteram apenas os textos da página.
Então, vou mostrar uma maneira de se "enganar" os apreciadores do seu deface, fazendo-os acreditar que você realmente desfigurou o site, quando na verdade o conteúdo legítimo do mesmo está escondido atrás de sua defacepage.
A lógica é simples: vamos criar uma tabela que preencha toda a área da tela, com fundo não-transparente (neste caso, preto) e que se sobreponha ao conteúdo do site, não importando a localização do código da mesma. Barras de rolagem? Sim, elas continuarão, mas ficarão sem ação. Isto quer dizer que, como a nossa tabela é fixa, por mais que o visitante role a página, o conteúdo da mesma não se modificará.
Veja nosso código:
Código HTML:
<table style="position: fixed; top: 0px; left: 0px; background-color: black; border: 0px solid black; color: white; display:block!important; width:2000px; height:2000px; z-index:2!important; -moz-user-select: none;-moz-user-focus:ignore; -moz-user-input isabled; text-shadow: 1px 1px 1px #000, -1px -1px 1px #FFF;"><tr><td> <font size=7> HACKEADO POR NINGUÉM </font></td></tr></table>
Substitua "HACKEADO POR NINGUÉM" pelo conteúdo de sua defacepage, podendo ser textos, imagens, conteúdo em flash ou outro tipo de mídia.
O código acima foi adaptado da versão em BBCode utilizada para "ownar" páginas de tópicos de fóruns do forumeiros. Veja a versão original:
Código:
[table style="position: fixed; top: 0px; left: 0px; background-color: black; border: 0px solid black; color: white; display:block!important; cursor:wait!important; width:2000px; height:2000px; z-index:2!important; -moz-user-select: none;-moz-user-focus:ignore; -moz-user-input isabled; text-shadow: 1px 1px 1px #000, -1px -1px 1px #FFF;"][tr][td] [scroll] HACKEADO POR NINGUÉM [/scroll][/td][/tr][/table]
Comment