[SOLUCIONADO] Explotar vulnerabilidad CSRF de una web.

snyperip · Mayo 26, 2013, 03:31:53 PM

Hola necesito que me ayuden miren he encontrado una vuln. en la pag.
la cual es CSRF y lo que quiero hacer es sacar pass y user, y necesito ayuda, quiero que me digan como funciona y como realizar el ataque.

Gracias espero respuestas.

Pr0ph3t · Mayo 26, 2013, 03:46:33 PM

No te lo tiene que decir nadie, busca tú la información que eres el que quiere explotar eso, no es difícil usar un poco el buscador...

snyperip · Mayo 26, 2013, 03:48:13 PM

Si ya he buscado pero no entiendo muy bien como atacar. O no entiendo muy bien la info que me dan.

Pr0ph3t · Mayo 26, 2013, 04:02:51 PM

Dinos cuál es la parte que no entiendes y te ayudaremos, pero no te vamos a explotar el CSRF nosotros.

snyperip · Mayo 26, 2013, 04:07:08 PM

Ok lesdire lo que no entiendo.

PD. No queria que ustedes me ayudaran a atacar solo ayudarme a entender.

snyperip · Mayo 26, 2013, 04:11:30 PM

Mira encontre un tutorial este
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
lo que no entendi fue donde empieza el ataque.

0x05:Como atacar con CSRF

Pr0ph3t · Mayo 26, 2013, 06:33:17 PM

Tu subes a una web tuya un código que redireccione al CSRF, entonces envías la web esa a la víctima que desees. Entonces al abrir la web ejecutará el CSRF, no tiene mucha complicación. Obviamente hay variaciones, échale imaginación.

snyperip · Mayo 26, 2013, 11:18:04 PM

Tomo los codigos quebienen en la web verdad todos esos ?

Destructor.cs · Mayo 26, 2013, 11:41:20 PM

Muestra el CSRF que has encontrado, ya que este puede ser tan basico como hacer que otra persona publique lo que tu quieras (ejemplo en una red social), ganar rangos (ejemplo en un holo), hacer que el usuario salga de su sesion, o hasta registrar cualquier usuario!
En cualquiera de los primeros casos simplemente deberias hacer que la persona que tu quieres ingrese al link que es vulnerable, pero por ejemplo en el ultimo podrias crear un script que registre infinitos usuarios en la base de datos de esa web !

Pr0ph3t · Mayo 27, 2013, 10:13:38 AM

El código del CSRF varía según la web, si pones aquí el enlace intentaremos echarte una mano.

snyperip · Mayo 27, 2013, 01:23:49 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta esta es la pag vuln. CSRF y de esta pagina me estoi basando en el tutorial pero no le entiendo muy bien como hacerle No tienes permitido ver los links. Registrarse o Entrar a mi cuenta espero me ayuden y expliquen mas que nada para entenderle.

Destructor.cs · Mayo 27, 2013, 05:22:00 PM

como sabes si es vulnerable? osea, muestranos donde es vulnerable!

Snifer · Mayo 27, 2013, 09:17:09 PM

Uso un scanner

por ello lo dice

Regards,
Snifer

snyperip · Mayo 27, 2013, 10:31:08 PM

Exacto use un scaner el llamado WEBsecurify y espero que me ayuden espero sus respuestas.

Pr0ph3t · Mayo 28, 2013, 10:22:53 AM

Si no nos mandas el enlace directo a la vulnerabilidad nada. Yo no la voy a buscar...
Por cierto, usando scanners no aprenderás nada.

snyperip · Mayo 28, 2013, 10:22:19 PM

Mira es lo que me aparece en el scaner

Cross-site Request Forgery

url: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

form: <form method="POST" action="No tienes permitido ver los links. Registrarse o Entrar a mi cuenta" enctype="application/x-www-form-urlencoded" autocomplete="on"> ... </form>

Me dice mas de estas pero te doi solo esta. Espero me respondas.

Xt3mP · Mayo 29, 2013, 05:52:22 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si no nos mandas el enlace directo a la vulnerabilidad nada. Yo no la voy a buscar...
Por cierto, usando scanners no aprenderás nada.

No estoy de acuerdo contigo en esa parte, conozco mucha gente de alto nivel que utiliza softwares de terceros, sean scanners u otros para ahorrarse tiempo; creo que lo que quisiste decir es si recien empieza en esto, y se acostumbra a usar scanners no aprenderá, sin embargo, como recien empieza, el uso de un scanner le puede ayudar a entender por donde se buscan los bugs y cuales son, para posteriormente proceder a explotarlos manualmente.

Pr0ph3t · Mayo 29, 2013, 05:59:17 PM

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Si no nos mandas el enlace directo a la vulnerabilidad nada. Yo no la voy a buscar...
Por cierto, usando scanners no aprenderás nada.

No estoy de acuerdo contigo en esa parte, conozco mucha gente de alto nivel que utiliza softwares de terceros, sean scanners u otros para ahorrarse tiempo; creo que lo que quisiste decir es si recien empieza en esto, y se acostumbra a usar scanners no aprenderá, sin embargo, como recien empieza, el uso de un scanner le puede ayudar a entender por donde se buscan los bugs y cuales son, para posteriormente proceder a explotarlos manualmente.

Tienes razón, pero en este caso no es así.

snyperip · Mayo 29, 2013, 11:30:41 PM

Estoi esperando ayuda porfavor.

Snifer · Mayo 30, 2013, 09:07:17 AM

Aqui tienes la respuesta estimado

lee y luego comentas.. No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Regards,
Snifer

[SOLUCIONADO] Explotar vulnerabilidad CSRF de una web.

Mayo 26, 2013, 03:31:53 PM Ultima modificación: Agosto 08, 2014, 10:04:49 PM por Expermicid

Mayo 26, 2013, 03:46:33 PM #1

Mayo 26, 2013, 03:48:13 PM #2

Mayo 26, 2013, 04:02:51 PM #3

Mayo 26, 2013, 04:07:08 PM #4

Mayo 26, 2013, 04:11:30 PM #5

Mayo 26, 2013, 06:33:17 PM #6

Mayo 26, 2013, 11:18:04 PM #7

Mayo 26, 2013, 11:41:20 PM #8

Mayo 27, 2013, 10:13:38 AM #9

Mayo 27, 2013, 01:23:49 PM #10

Mayo 27, 2013, 05:22:00 PM #11

Mayo 27, 2013, 09:17:09 PM #12

Mayo 27, 2013, 10:31:08 PM #13

Mayo 28, 2013, 10:22:53 AM #14

Mayo 28, 2013, 10:22:19 PM #15

Mayo 29, 2013, 05:52:22 PM #16

Mayo 29, 2013, 05:59:17 PM #17

Mayo 29, 2013, 11:30:41 PM #18

Mayo 30, 2013, 09:07:17 AM #19