Hace un año, cuando me rete a bypassear el filtro del instituto se me ocurrieron muchas formas de hacerlo, haciendo pings a sitios web para conseguir su IP y así probar entrar por la ip en el 80, ya que la mayoría de filtros se basan en la url. Una de estas formas fue usando php y python.

El script en PHP lo que hacía era bajarse la web que yo elejía y luega mostrando el HTML.(muy churro), luego para no ir a la web y tal me hice este script en python:

#!/usr/bin/python
# Envia los parametros al servidor.

import httplib, urllib, sys 
parametros = urllib.urlencode({'web': sys.argv[1]}) 
cabeceras = {"Content-type": "application/x-www-form-urlencoded","Accept": "text/plain"} 
conexion = httplib.HTTPConnection("www.web.com:80") 
conexion.request("POST", "archivo.php", parametros, cabeceras) 
respuesta = conexion.getresponse() 
jiej= respuesta.status
juoj= str(respuesta.status)
if jiej==200:
    print 'La web: '+str(sys.argv[1])+' a sido \'desbloqueada\'!'
else:
    print 'Error: '+juoj

conexion.close()

No tengo mucho más que contar...

Antes que nada, quiero darle todos los créditos a Sven Vetsch, ya que este paper se basa en el suyo (en ingles)  sobre XSIO.

<------------------Cross Site Image Overlaying------------------ >

0x01-> Introducción.
0x02-> Explicación

+---------------------------------------------------------------------------------------------------------------------+

Cross Site Image Overlaying     

Esta variante del XSS es una forma de jugar con los estilos(css) y los tags html permitiendo asi conseguir hacer pishing u otros ataques similares.

Este tipo de ataques son interesantes de aprovechar en el caso de no poder ejecutar JavaScript por culpa de un WAF o filtro que haya por ahí.

+---------------------------------------------------------------------------------------------------------------------+


El ataque, como comente antes, esta basado en CSS, y la forma de explotarlo es usar style de las etiquetas HTML, quedando un payload como el siguiente:

"><img src='http://image.gif' style='position:absolute;left:500px;top:123px;'/>

Este ataque no tiene mucha dificultad, ya que se trata de usar ir usando los atributos de css y podriamos hacer cosas como estas:

   



Hemos conseguido cambiado el logo, por uno de adobe(aunque no lo parezca), y con esto podríamos hacer creer una falsa sensación de que esta en un sitio No tienes permitido ver los links. Registrarse o Entrar a mi cuenta puede ver que hemos cambiado un logo por otro. Tambien podriamos poner un link hacía una web con malware alojado.

+---------------------------------------------------------------------------------------------------------------------+

Bienvenidos a este paper de  Image Filename XSS [IFXSS].

<------------------------------------------------------------------------------>

0x01-> Introducción.
0x02-> Explotar la vulnerabilidad
0x04-> Créditos.

+------------------------------------------------------+

Introducción.

Image Filename XSS es el aprovechamiento de $http_post_files['userfile']['name'] que coge el nombre del archivo subido, en el cual nostros añadiremos HTML o Javascript para poder conseguir un XSS.

+-------------------------------------------------------+

Explotando la vulnerabilidad.

Primero tendremos que buscar una aplicación vulnerable para este tipo de ataque, se trata de que se pueda subir jpeg/pdf/doc/txt... (Cualquier archivo)

¿Que tipo de sitios suelen ser vulnerables a IFXSS?

Suelen ser vulnerables los foros, sitios web de almacenamiento, algunos libros de visitas...

¿Como se si es vulnerable?

Para saber si es vulnerable vamos a crear un archivo llamado "><h1>XSS.txt (sin cerrar al final explicare el porqué)

Lo abrimos con un blog de notas o el gedit depende de que SO estes y escribiremos:

"Hola papapa test!"


Ahora vamos a cambiar el .txt por .jpg ya que la mayoria de uploaders permiten .jpg y nos sera más fácil encontrar uno.

Entonces si sale algo parecido a: La imagen: "Nombre imagen" se subio correctamente o un listado con el nombre del archivo que hemos subido podremos probar de inyectar HTML o Javascript

Ahora vamos donde aparece el nombre del archivo.jpg y si es vulnerable el <h1> se ejecuto y todo lo que hay despues de "nombrearchivo.jpg" debería de salir grande  como en la imagen de abajo, en caso de que no salga en grande y salga: "><h1>JKS.jpg pues otra vez será.





Ahora que sabemos que es vulnerable podremos probar de inyectar más códigos como un iframe y "infectarlo" con un beef o otras cositas eso lo dejo para vosotros..

PD: El h1 no lo cerramos porque en Linux  (No se en windows, supongo que también) no deja poner / ya que si se pudiera poner lo interpretaria el archivo como si fuera un directorio a abrir.
Quedando asi la URL del archivo: /home/jks/desktop/archivo.txt/

Aunque siempre nos quedaría probar de bypassear el nombre con el live http headers y cerrar el tag que pusimos

+-------------------------------------------------------+
Creado por: JKS (17-6-2011)


PD: Este paper hara la tira de tiempo que lo hice. El XSS de dropbox esta reportado.