.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Páginas1
#2
Bugs y Exploits / Xss pasado
Julio 06, 2012, 03:52:47 AM
aver ke onda con esto?
es primero la url de un comentario
de ahi la url en una img
despues en al url de un mailer
despues poner el xss con asciidecode y doble codificacion de caracteres
y me dicen ke no lo pase?
por favor cheken mejor kien lo pasa y no
y no esten dudando del nviel de uno
pero no se preokupen al rato les pongo un reto aver si como roncan duermen niños :3
----------------------------
y como el sgustna los tutoriales lelvados de la manita hay els va la solucion paso a paso como ne el kinder
al entrar nso encotnramos con una caja de texto apra introducir un valor el cual se pasa por medio de GET
a este script
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la variable nada lleva el valor que escribimos
ok hasta aki parece un xss normal hay ek saltar filtro este hace un fitlrado de caracteres para no permitirnos meter el caracter <
aki podremos pasarnos años pegandole por ke no es real solo una trampa para perder el tiempo
cuando vez el codigo fuente hay un comentario
Código: php
ok situiente web por ke esta no es ineyctable de aki saltamos a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
de aki nos encontramos con la estupida caja en javascript de poner user y pass ke originalmente no tenia pass
asi ke te ponia el usuario y contraseña vacia cuando davas enter a als dos pasabas
ahora lo modificaron para ke pida un pass, pero como opera rulera solo le pongo no ejecutar mas este escript
viendo la fuente vemos usuario y pass actual
Código: php
de aki nos muestra la foto de un anciano
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ok no hay anda de info en el codigo asi ke como veo ke ponen mucho de moda meter seudo "stenografia" dije a la madre tendre ke volver a hacer lo de buscar bytes con menos valor en la escala de colores
pero no fue mas facil
solo tenias ke abrir la imagen con un hec editor y al final del archivo sin okultarlo nada nos encontramos con
/pumba.php
asi ke ahora nso manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
nos da una pagina 404 ke es cagada por ke podria unoc reer ke solo era una pista el pumba.php
intentamos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y grave error nos manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta?
asi ke la anterior es una pagina falt apor ke la url anterior es el error 404 por default del hosting
asi ke ahroa solo tenemos ke vovler a ver el codigo fuente
y esta vez con su acostumbrado okultacion de cadenas ovias
lo enontrmaos al priemr vistaso
Código: php
ok ahora saltamos a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la cual otra vez es una caja de texto y un boton
ok ahroa no me verna al cara,
vemos el codigo fuente y otra vez es mandar las variables por get
Código: php
osea nos manda a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
otra vez la variable es nada
aki solo hay ke hacer un par de preuvas para ver ke nos permite meter practicamente cualkier caracter pero lo manda a htlmencode
asi ke podemos poner nuestros <> y los veremso impreso pero no ejecutado
pero ke pasa si metemos el caracter con doble codificacion
o lo ke e slo mismo
en vez de mandarlo como
%3C para imprimir <
lo mandamos como %253C
esta vez nos imprime el < pero si vemos el fuente no esta en htmlencode
si no ke realmetne lo imrpime
asi ke solo se necesita un poko de imaginacion para codificar el javascript
y se ejecute
como tenemso macquotes pro default no nso dejara meter comillas o simples
asi ke okupamso una codificaicon sencilla y basica para meer nuestra cadena de texto
pa ke no digan ke uno no pasa los retos y demaz
y si no aparecen las variables en alc aptura de pantalla es por ke opera esconde las variables cuando pierde el fokus
asi ke diviertanse niños y a lammerear defacenado mas webs con xss
CitarRe:Reto XSS by Xt3mp & PQSy la solucion al reto sencillo de kinder
« Enviado a: Psymera en: Hoy a las 01:30:11 am »
« Has reenviado o respondido a este mensaje. »
Responder
Citar
Borrar
Amigo he hablado con Matabarras y has sido descalificado del Juego, porq CalebBuker mostro la solucion y segun tengo entendido no hiciste el XSS solo Mostraste un alert con opera, disculpa para la proxima sera
es primero la url de un comentario
de ahi la url en una img
despues en al url de un mailer
despues poner el xss con asciidecode y doble codificacion de caracteres
y me dicen ke no lo pase?
por favor cheken mejor kien lo pasa y no
y no esten dudando del nviel de uno
pero no se preokupen al rato les pongo un reto aver si como roncan duermen niños :3
----------------------------
y como el sgustna los tutoriales lelvados de la manita hay els va la solucion paso a paso como ne el kinder
al entrar nso encotnramos con una caja de texto apra introducir un valor el cual se pasa por medio de GET
a este script
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la variable nada lleva el valor que escribimos
ok hasta aki parece un xss normal hay ek saltar filtro este hace un fitlrado de caracteres para no permitirnos meter el caracter <
aki podremos pasarnos años pegandole por ke no es real solo una trampa para perder el tiempo
cuando vez el codigo fuente hay un comentario
<!--
Sigue lol.php
-->ok situiente web por ke esta no es ineyctable de aki saltamos a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
de aki nos encontramos con la estupida caja en javascript de poner user y pass ke originalmente no tenia pass
asi ke te ponia el usuario y contraseña vacia cuando davas enter a als dos pasabas
ahora lo modificaron para ke pida un pass, pero como opera rulera solo le pongo no ejecutar mas este escript
viendo la fuente vemos usuario y pass actual
h<script languaje="JavaScript">
var user = "" ;
var pass = "" ;
while ( user != "underc0de" || pass != "980877029" )
{
user = prompt ("Wargame Login: " , "underc0de" )
pass = prompt ("Wargame Pass: " , "" )
}
</script>de aki nos muestra la foto de un anciano
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
ok no hay anda de info en el codigo asi ke como veo ke ponen mucho de moda meter seudo "stenografia" dije a la madre tendre ke volver a hacer lo de buscar bytes con menos valor en la escala de colores
pero no fue mas facil
solo tenias ke abrir la imagen con un hec editor y al final del archivo sin okultarlo nada nos encontramos con
/pumba.php
asi ke ahora nso manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
nos da una pagina 404 ke es cagada por ke podria unoc reer ke solo era una pista el pumba.php
intentamos No tienes permitido ver los links. Registrarse o Entrar a mi cuenta y grave error nos manda a
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta?
asi ke la anterior es una pagina falt apor ke la url anterior es el error 404 por default del hosting
asi ke ahroa solo tenemos ke vovler a ver el codigo fuente
y esta vez con su acostumbrado okultacion de cadenas ovias
lo enontrmaos al priemr vistaso
<p>
If you think this is a server error, please contact
the <a href="mailto:cianuro.php">webmaster</a>.
</p>ok ahora saltamos a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
la cual otra vez es una caja de texto y un boton
ok ahroa no me verna al cara,
vemos el codigo fuente y otra vez es mandar las variables por get
<form method="get" action="cia.php" >
<input type="text" name="nada" />
<input type="submit" value="XSS" />
</form>osea nos manda a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
otra vez la variable es nada
aki solo hay ke hacer un par de preuvas para ver ke nos permite meter practicamente cualkier caracter pero lo manda a htlmencode
asi ke podemos poner nuestros <> y los veremso impreso pero no ejecutado
pero ke pasa si metemos el caracter con doble codificacion
o lo ke e slo mismo
en vez de mandarlo como
%3C para imprimir <
lo mandamos como %253C
esta vez nos imprime el < pero si vemos el fuente no esta en htmlencode
si no ke realmetne lo imrpime
asi ke solo se necesita un poko de imaginacion para codificar el javascript
y se ejecute
como tenemso macquotes pro default no nso dejara meter comillas o simples
asi ke okupamso una codificaicon sencilla y basica para meer nuestra cadena de texto
CitarNo tienes permitido ver los links. Registrarse o Entrar a mi cuentay eh aki el resultado
pa ke no digan ke uno no pasa los retos y demaz
y si no aparecen las variables en alc aptura de pantalla es por ke opera esconde las variables cuando pierde el fokus
asi ke diviertanse niños y a lammerear defacenado mas webs con xss
Páginas1
