XSS Persistente Blogger

Iniciado por ANTRAX, Enero 18, 2013, 10:27:35 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Enero 18, 2013, 10:27:35 PM Ultima modificación: Enero 10, 2015, 12:44:15 PM por Expermicid





EDIT: Voy a explicar un poco mas este post, la forma de hacerlo es tonto, pero quizas a alguien le sirva:

Blogger tiene "Permisos" o "Grupos de usuarios" uno es el administrador y el otro es el autor


En este caso, pr0ph3t es autor y yo administrador...

Ahora que pasa si pr0ph3t que es un autor, postea un script en un post?


LINK: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como se puede ver, el posteo un script ""><img src=x onerror=prompt(/Pr0ph3t/);>"

Ahora si yo que soy el admin, voy a la parte de templates o plantillas:


Se ejecuta su script..

A que quiero llegar con esto? a que un autor puede ejecutarle script a un administrador...

Espero que les guste!
Saludos!
ANTRAX



Genial, estaría bien que cuando lo fixeen publiques el vector ;)
Zalu2
Sólo el conocimiento te hace libre.

Muy bueno espero algundia ser como tu ANTRAX...

Saludos,...


Un Hacker sabe de la materia;
Un Lamer Cree Saberlo;
Y yo solo aprendo.

Zerosecurity lo publico!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Lo reporte con creditos a underc0de!



FELICIDADES!
Buena esa!
Tener éxito no es aleatorio, es una variable dependiente del esfuerzo.

Publicar el vector¿?¿?.

Si vas a plantilla, edición html y metes una simple alerta que muestre el document.cookie [ <script>alert(document.cookie)</script>
Guardas, y le das a cerrar, y te muestra la xss.

Nada del otro mundo.. xD
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Es verdad! no habia probado eso, pero tambien funciona!


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Es verdad! no habia probado eso, pero tambien funciona!

Si hay más alternativas, igual no estoy seguro de si esto llega a ser XSS, dado que permiten el html en los blogs, tu siendo administrador del blog puedes hacer lo que quieras.

La cosa, es que vale te rula la cookie almacenada de blogger, pero solo si estas en la edición de plantilla de el blog, y para llegar hay debes ser administrador del blog.

Así que no llega  a ser nada, pero bueno no deberia hacerlo, dado que solo deberia reflejar en el navegador el contenido de blogger, y no el contenido html de la plantilla también.
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Matabarras, hacelo y pasame el link asi cuando entre veo tu mensaje de alerta a ver...

No vere nada porque esos cambios que haces son solo de local, la idea del xss es que puedas pasarme un link o mandarme un mensaje y al leerlo o entrar al link se ejecute tal accion.




Edit: Antrax, por lo que acabas de comentar, me haces confundir si lo que dije anteriormente es cierto o no.. y tambien me hace dudar de si realmente encontraste un xss o solo modificaste de local, como puedo hacer yo si quiero y subir una imagen jeje xD

En realidad se le puede sacar provecho.
Como dije antes, un redactor, que no tiene permisos de admin, puede aprovechar esta misma falla, para hacer caer al admin.
Yo no lo hice de la misma forma que matabarras, ya que de su forma solo puede hacerlo el admin. De la forma que yo lo hago, puede hacerlo un redactor y hacer caer al admin.


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Matabarras, hacelo y pasame el link asi cuando entre veo tu mensaje de alerta a ver...

No vere nada porque esos cambios que haces son solo de local, la idea del xss es que puedas pasarme un link o mandarme un mensaje y al leerlo o entrar al link se ejecute tal accion.




Edit: Antrax, por lo que acabas de comentar, me haces confundir si lo que dije anteriormente es cierto o no.. y tambien me hace dudar de si realmente encontraste un xss o solo modificaste de local, como puedo hacer yo si quiero y subir una imagen jeje xD

Esque en el BLOG, no te va a mostrar la cookie del Blogger, solo te va a mostrar la cookie del blog que visitas, y si no se genera ninguna por default, te muestra la alerta vacia.

En la unica parte donde te muestra la cookie de blogger, es en la sección plantillas de blogger.

Pero siendo así eso es algo estatico, y no se refleja a todos los usuarios, por lo tanto pasa a ser un Reflected, vamos una xss pasiva. si se le puede llamar así..
No esperes nada, vive la vida, y que los demas hagan lo que ellos creen.

Claro, de la forma que tu lo haces, si.. Ya que no creo que un admin quiera atacarse a si mismo.
Yo encontre otra forma, u otro lugar por asi decirlo, de dejar el codigo y que solo pueda verlo el admin cuando entra a la plantilla


Ah ahi va, ahora si :P porque sino no es XSS

Una pregunta, existen programas estilo sqlmap para analizar webs con vulnerabilidades xss no? digo porque si es que existen, que raro que nadie habia encontrado este xss en blogger, va.. tal vez si pero no decian xD


edit: Gracias Matabarras, ahora entendi, creo que te habia entendido mal en tu comentario anterior, me confundi con lo de plantilla ya que yo no he usado nunca blogger y por eso pense otra cosa como plantilla xD


Saludos!

Si si existen programas, creo que hay uno que se llama Xelenium y si no me equivoco viene un addon para firefox


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Ah ahi va, ahora si :P porque sino no es XSS

Una pregunta, existen programas estilo sqlmap para analizar webs con vulnerabilidades xss no? digo porque si es que existen, que raro que nadie habia encontrado este xss en blogger, va.. tal vez si pero no decian xD


edit: Gracias Matabarras, ahora entendi, creo que te habia entendido mal en tu comentario anterior, me confundi con lo de plantilla ya que yo no he usado nunca blogger y por eso pense otra cosa como plantilla xD


Saludos!

No da usar un programa de esos contra google, en realidad contra ningun lado deja muchos logs. Bua, depende cual sea el programa.
Dejen de darle tantas vueltas a este thread XD es un xss nada mas :P no es por minimizarlo, pero de esos google tiene muchos xD

Un saludos! -> Turka.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No me esperaba esto de ti ANTRAX xd
Sigueme en Twitter : @Sankosk
Estos nuevos staff no tienen puta idea XD

Enero 22, 2013, 11:53:54 AM #18 Ultima modificación: Enero 22, 2013, 11:56:13 AM por ANTRAX
me respondieron de google.. el xss no deberia generarse.. de todas formas no es tan critico como crei, la cookie que saca es de blogspot y no de blogger.. aun asi me agradecieron el reporte..


Muy buen descubrimiento ANTRAX, espero mas encuentros asi grandes de tu parte.