send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Xss pasado

  • 4 Respuestas
  • 2544 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Psymera

  • *
  • Underc0der
  • Mensajes: 75
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Julio 06, 2012, 03:52:47 am »
aver ke onda con esto?
Citar
Re:Reto XSS by Xt3mp & PQS
«  Enviado a: Psymera  en: Hoy a las 01:30:11 am »
« Has reenviado o respondido a este mensaje. »
Responder
Citar
Borrar

Amigo he hablado con Matabarras y has sido descalificado del Juego, porq CalebBuker mostro la solucion y segun tengo entendido no hiciste el XSS solo Mostraste un alert con opera, disculpa para la proxima sera
y la solucion al reto sencillo de kinder
es primero la url de un comentario
de ahi la url en una img
despues en al url de un mailer
despues poner el xss con asciidecode y doble codificacion de caracteres
y me dicen ke no lo pase?
por favor cheken mejor kien lo pasa y no
y no esten dudando del nviel de uno
pero no se preokupen al rato les pongo un reto aver si como roncan duermen niños :3
----------------------------
y como el sgustna los tutoriales lelvados de la manita hay els va la solucion paso a paso como ne el kinder
al entrar nso encotnramos con una caja de texto apra introducir un valor el cual se pasa por medio de GET
a este script
You are not allowed to view links. Register or Login
la variable nada lleva el valor que escribimos
ok hasta aki parece un xss normal hay ek saltar filtro este hace un fitlrado de caracteres para no permitirnos meter el caracter <
aki podremos pasarnos años pegandole por ke no es real solo una trampa para perder el tiempo
cuando vez el codigo fuente hay un comentario
Código: You are not allowed to view links. Register or Login
<!--
Sigue lol.php
-->
ok situiente web por ke esta no es ineyctable de aki saltamos a
You are not allowed to view links. Register or Login
de aki nos encontramos con la estupida caja en javascript de poner user y pass ke originalmente no tenia pass
asi ke te ponia el usuario y contraseña vacia cuando davas enter a als dos pasabas
ahora lo modificaron para ke pida un pass, pero como opera rulera solo le pongo no ejecutar mas este escript
viendo la fuente vemos usuario y pass actual
Código: You are not allowed to view links. Register or Login
h<script languaje="JavaScript">
var user = "" ;
var pass = "" ;
while ( user != "underc0de" || pass != "980877029" )
{
user = prompt ("Wargame Login: " , "underc0de" )
pass = prompt ("Wargame Pass: " , "" )

  }
</script>
de aki nos muestra la foto de un anciano
You are not allowed to view links. Register or Login
ok no hay anda de info en el codigo asi ke como veo ke ponen mucho de moda meter seudo "stenografia" dije a la madre tendre ke volver a hacer lo de buscar bytes con menos valor en la escala de colores
pero no fue mas facil
solo tenias ke abrir la imagen con un hec editor y al final del archivo sin okultarlo nada nos encontramos con
/pumba.php
asi ke ahora nso manda a
You are not allowed to view links. Register or Login
nos da una pagina 404 ke es cagada por ke podria unoc reer ke solo era una pista el pumba.php
intentamos You are not allowed to view links. Register or Login y grave error nos manda a
You are not allowed to view links. Register or Login
asi ke la anterior es una pagina falt apor ke la url anterior es el error 404 por default del hosting
asi ke ahroa solo tenemos ke vovler a ver el codigo fuente
y esta vez con su acostumbrado okultacion de cadenas ovias
lo enontrmaos al priemr vistaso
Código: You are not allowed to view links. Register or Login
<p>
If you think this is a server error, please contact
the <a href="mailto:cianuro.php">webmaster</a>.

</p>
ok ahora saltamos a You are not allowed to view links. Register or Login
la cual otra vez es una caja de texto y un boton
ok ahroa no me verna al cara,
vemos el codigo fuente y otra vez es mandar las variables por get
Código: You are not allowed to view links. Register or Login
<form method="get" action="cia.php" >
<input type="text" name="nada" />
<input type="submit" value="XSS" />
</form>
osea nos manda a You are not allowed to view links. Register or Login
otra vez la variable es nada
aki solo hay ke hacer un par de preuvas para ver ke nos permite meter practicamente cualkier caracter pero lo manda a htlmencode
asi ke podemos poner nuestros <> y los veremso impreso pero no ejecutado
pero ke pasa si metemos el caracter con doble codificacion
o lo ke e slo mismo
en vez de mandarlo como
%3C para imprimir <
lo mandamos como %253C
esta vez nos imprime el < pero si vemos el fuente no esta en htmlencode
si no ke realmetne lo imrpime
asi ke solo se necesita un poko de imaginacion para codificar el javascript
y se ejecute
como tenemso macquotes pro default no nso dejara meter comillas o simples
asi ke okupamso una codificaicon sencilla y basica para meer nuestra cadena de texto
Citar
You are not allowed to view links. Register or Login
y eh aki el resultado

pa ke no digan ke uno no pasa los retos y demaz
y si no aparecen las variables en alc aptura de pantalla es por ke opera esconde las variables cuando pierde el fokus
asi ke diviertanse niños y a lammerear defacenado mas webs con xss  ;)
« Última modificación: Agosto 16, 2014, 10:35:30 am por Expermicid »
El conocimiento es libre...
La información no lo es xD

Desconectado Matabarras

  • *
  • Underc0der
  • Mensajes: 129
  • Actividad:
    0%
  • Reputación 0
  • In-Seguridad informática
    • Ver Perfil
  • Skype: Matabarrasfud
« Respuesta #1 en: Julio 06, 2012, 04:30:26 am »
Bueno, igualmente mostraron la solución anteriormente así que no hay validez.

Y más cuando dobleponen la solución , el reto era facil, ya que para algo es un reto para que se acabe no para que sea Imposible.

Pero si quieres te pongo y quizas dentro de 1 més lo acabas.  ;D

Esas es una solución MUY MALA y muy MAL Explicada.

Primero, porque no hace falta buscar bytes ni hacer "escenografia" en la foto ni ver el código de fuente de ella.

Segundo, el login javascript solo era para hacer mas largo, se veia la foto y además era divertido, porque cada vez cambiaba el pass automaticamente.

Luego si alguien quiere pongo la solución correcta y bien detallada, y sin faltas ortografícas .

Saludos aunque la cosa es que la gente pase el reto y luego dar la solución, no darsela .

Pero tranquilo   ::)
« Última modificación: Julio 06, 2012, 04:44:56 am por Matabarras/PQS »
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Desconectado Matabarras

  • *
  • Underc0der
  • Mensajes: 129
  • Actividad:
    0%
  • Reputación 0
  • In-Seguridad informática
    • Ver Perfil
  • Skype: Matabarrasfud
« Respuesta #2 en: Julio 06, 2012, 04:47:39 am »
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
Bueno, igualmente mostraron la solución anteriormente así que no hay validez.

Y más cuando dobleponen la solución , el reto era facil, ya que para algo es un reto para que se acabe no para que sea Imposible.

Pero si quieres te pongo y quizas dentro de 1 més lo acabas.  ;D

leelo denuevo niño ahi tienes la solucion
yo se ke tu ego es muy grande pero no te preokupes
con mi reto podras mostrar lo leet ke eres
el record es de 30 minutos desde un android
lo malo es ke los siguientes dos ke lo resolvieron tardaron 2 semanas
y de ahi en fuera nadie lo ah solucionado
ahi veremos ke tan matabarras eres ;)

Hola, yo no soy ningun niño quizas tu si porque no sabes escribir, y la cosa de un reto esque este bien echo, yo no tengo ego quizas tu si, por eso necesitas hacer un post para darle importancia a un reto.

Yo puedo hacer un reto que tu no te lo pasaras en tu vida y que importa eso?.
 ;D
Para 4337S te tenemos a ti ^^, bye wannabes.
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Desconectado Matabarras

  • *
  • Underc0der
  • Mensajes: 129
  • Actividad:
    0%
  • Reputación 0
  • In-Seguridad informática
    • Ver Perfil
  • Skype: Matabarrasfud
« Respuesta #3 en: Julio 06, 2012, 04:53:26 am »
Esa xss, no sirve. No sé de donde sacaste la alerta  ;D
« Última modificación: Julio 06, 2012, 04:56:25 am por hdbreaker »
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 412
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #4 en: Julio 06, 2012, 04:54:24 am »
Se Desvio del tema Original Cerrado

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

 

¿Te gustó el post? COMPARTILO!