Xss pasado

Iniciado por Psymera, Julio 06, 2012, 03:52:47 AM

Tema anterior - Siguiente tema

0 Miembros y 11 Visitantes están viendo este tema.

Julio 06, 2012, 03:52:47 AM Ultima modificación: Agosto 16, 2014, 10:35:30 AM por Expermicid
aver ke onda con esto?
CitarRe:Reto XSS by Xt3mp & PQS
«  Enviado a: Psymera  en: Hoy a las 01:30:11 am »
« Has reenviado o respondido a este mensaje. »
Responder
Citar
Borrar

Amigo he hablado con Matabarras y has sido descalificado del Juego, porq CalebBuker mostro la solucion y segun tengo entendido no hiciste el XSS solo Mostraste un alert con opera, disculpa para la proxima sera
y la solucion al reto sencillo de kinder
es primero la url de un comentario
de ahi la url en una img
despues en al url de un mailer
despues poner el xss con asciidecode y doble codificacion de caracteres
y me dicen ke no lo pase?
por favor cheken mejor kien lo pasa y no
y no esten dudando del nviel de uno
pero no se preokupen al rato les pongo un reto aver si como roncan duermen niños :3
----------------------------
y como el sgustna los tutoriales lelvados de la manita hay els va la solucion paso a paso como ne el kinder
al entrar nso encotnramos con una caja de texto apra introducir un valor el cual se pasa por medio de GET
a este script
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la variable nada lleva el valor que escribimos
ok hasta aki parece un xss normal hay ek saltar filtro este hace un fitlrado de caracteres para no permitirnos meter el caracter <
aki podremos pasarnos años pegandole por ke no es real solo una trampa para perder el tiempo
cuando vez el codigo fuente hay un comentario
Código: php
<!--
Sigue lol.php
-->

ok situiente web por ke esta no es ineyctable de aki saltamos a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
de aki nos encontramos con la estupida caja en javascript de poner user y pass ke originalmente no tenia pass
asi ke te ponia el usuario y contraseña vacia cuando davas enter a als dos pasabas
ahora lo modificaron para ke pida un pass, pero como opera rulera solo le pongo no ejecutar mas este escript
viendo la fuente vemos usuario y pass actual
Código: php
h<script languaje="JavaScript">
var user = "" ;
var pass = "" ;
while ( user != "underc0de" || pass != "980877029" )
{
user = prompt ("Wargame Login: " , "underc0de" )
pass = prompt ("Wargame Pass: " , "" )

}
</script>

de aki nos muestra la foto de un anciano
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ok no hay anda de info en el codigo asi ke como veo ke ponen mucho de moda meter seudo "stenografia" dije a la madre tendre ke volver a hacer lo de buscar bytes con menos valor en la escala de colores
pero no fue mas facil
solo tenias ke abrir la imagen con un hec editor y al final del archivo sin okultarlo nada nos encontramos con
/pumba.php
asi ke ahora nso manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
nos da una pagina 404 ke es cagada por ke podria unoc reer ke solo era una pista el pumba.php
intentamos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y grave error nos manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta?
asi ke la anterior es una pagina falt apor ke la url anterior es el error 404 por default del hosting
asi ke ahroa solo tenemos ke vovler a ver el codigo fuente
y esta vez con su acostumbrado okultacion de cadenas ovias
lo enontrmaos al priemr vistaso
Código: php
<p>
If you think this is a server error, please contact
the <a href="mailto:cianuro.php">webmaster</a>.

</p>

ok ahora saltamos a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la cual otra vez es una caja de texto y un boton
ok ahroa no me verna al cara,
vemos el codigo fuente y otra vez es mandar las variables por get
Código: php
<form method="get" action="cia.php" > 
<input type="text" name="nada" />
<input type="submit" value="XSS" />
</form>

osea nos manda a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
otra vez la variable es nada
aki solo hay ke hacer un par de preuvas para ver ke nos permite meter practicamente cualkier caracter pero lo manda a htlmencode
asi ke podemos poner nuestros <> y los veremso impreso pero no ejecutado
pero ke pasa si metemos el caracter con doble codificacion
o lo ke e slo mismo
en vez de mandarlo como
%3C para imprimir <
lo mandamos como %253C
esta vez nos imprime el < pero si vemos el fuente no esta en htmlencode
si no ke realmetne lo imrpime
asi ke solo se necesita un poko de imaginacion para codificar el javascript
y se ejecute
como tenemso macquotes pro default no nso dejara meter comillas o simples
asi ke okupamso una codificaicon sencilla y basica para meer nuestra cadena de texto
CitarNo tienes permitido ver los links. Registrarse o Entrar a mi cuenta
y eh aki el resultado

pa ke no digan ke uno no pasa los retos y demaz
y si no aparecen las variables en alc aptura de pantalla es por ke opera esconde las variables cuando pierde el fokus
asi ke diviertanse niños y a lammerear defacenado mas webs con xss  ;)
El conocimiento es libre...
La información no lo es xD

Julio 06, 2012, 04:30:26 AM #1 Ultima modificación: Julio 06, 2012, 04:44:56 AM por Matabarras/PQS
Bueno, igualmente mostraron la solución anteriormente así que no hay validez.

Y más cuando dobleponen la solución , el reto era facil, ya que para algo es un reto para que se acabe no para que sea Imposible.

Pero si quieres te pongo y quizas dentro de 1 més lo acabas.  ;D

Esas es una solución MUY MALA y muy MAL Explicada.

Primero, porque no hace falta buscar bytes ni hacer "escenografia" en la foto ni ver el código de fuente de ella.

Segundo, el login javascript solo era para hacer mas largo, se veia la foto y además era divertido, porque cada vez cambiaba el pass automaticamente.

Luego si alguien quiere pongo la solución correcta y bien detallada, y sin faltas ortografícas .

Saludos aunque la cosa es que la gente pase el reto y luego dar la solución, no darsela .

Pero tranquilo   ::)
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Bueno, igualmente mostraron la solución anteriormente así que no hay validez.

Y más cuando dobleponen la solución , el reto era facil, ya que para algo es un reto para que se acabe no para que sea Imposible.

Pero si quieres te pongo y quizas dentro de 1 més lo acabas.  ;D

leelo denuevo niño ahi tienes la solucion
yo se ke tu ego es muy grande pero no te preokupes
con mi reto podras mostrar lo leet ke eres
el record es de 30 minutos desde un android
lo malo es ke los siguientes dos ke lo resolvieron tardaron 2 semanas
y de ahi en fuera nadie lo ah solucionado
ahi veremos ke tan matabarras eres ;)

Hola, yo no soy ningun niño quizas tu si porque no sabes escribir, y la cosa de un reto esque este bien echo, yo no tengo ego quizas tu si, por eso necesitas hacer un post para darle importancia a un reto.

Yo puedo hacer un reto que tu no te lo pasaras en tu vida y que importa eso?.
;D
Para 4337S te tenemos a ti ^^, bye wannabes.
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Julio 06, 2012, 04:53:26 AM #3 Ultima modificación: Julio 06, 2012, 04:56:25 AM por hdbreaker
Esa xss, no sirve. No sé de donde sacaste la alerta  ;D
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Se Desvio del tema Original Cerrado

Entonces él dijo, "cruzad con vuestras tropas y atacad porque es lo único que le queda a nuestro pueblo...".