Mostrar Mensajes

Esta sección te permite ver todos los posts escritos por este usuario. Ten en cuenta que sólo puedes ver los posts escritos en zonas a las que tienes acceso en este momento.

Temas - Psymera

Páginas: [1]
1
Off Topic / Lammeronymous == Cyber Terroristas
« en: Febrero 08, 2013, 10:15:56 pm »
.

2
Bugs y Exploits / Xss pasado
« en: Julio 06, 2012, 03:52:47 am »
aver ke onda con esto?
Citar
Re:Reto XSS by Xt3mp & PQS
«  Enviado a: Psymera  en: Hoy a las 01:30:11 am »
« Has reenviado o respondido a este mensaje. »
Responder
Citar
Borrar

Amigo he hablado con Matabarras y has sido descalificado del Juego, porq CalebBuker mostro la solucion y segun tengo entendido no hiciste el XSS solo Mostraste un alert con opera, disculpa para la proxima sera
y la solucion al reto sencillo de kinder
es primero la url de un comentario
de ahi la url en una img
despues en al url de un mailer
despues poner el xss con asciidecode y doble codificacion de caracteres
y me dicen ke no lo pase?
por favor cheken mejor kien lo pasa y no
y no esten dudando del nviel de uno
pero no se preokupen al rato les pongo un reto aver si como roncan duermen niños :3
----------------------------
y como el sgustna los tutoriales lelvados de la manita hay els va la solucion paso a paso como ne el kinder
al entrar nso encotnramos con una caja de texto apra introducir un valor el cual se pasa por medio de GET
a este script
You are not allowed to view links. Register or Login
la variable nada lleva el valor que escribimos
ok hasta aki parece un xss normal hay ek saltar filtro este hace un fitlrado de caracteres para no permitirnos meter el caracter <
aki podremos pasarnos años pegandole por ke no es real solo una trampa para perder el tiempo
cuando vez el codigo fuente hay un comentario
Código: You are not allowed to view links. Register or Login
<!--
Sigue lol.php
-->
ok situiente web por ke esta no es ineyctable de aki saltamos a
You are not allowed to view links. Register or Login
de aki nos encontramos con la estupida caja en javascript de poner user y pass ke originalmente no tenia pass
asi ke te ponia el usuario y contraseña vacia cuando davas enter a als dos pasabas
ahora lo modificaron para ke pida un pass, pero como opera rulera solo le pongo no ejecutar mas este escript
viendo la fuente vemos usuario y pass actual
Código: You are not allowed to view links. Register or Login
h<script languaje="JavaScript">
var user = "" ;
var pass = "" ;
while ( user != "underc0de" || pass != "980877029" )
{
user = prompt ("Wargame Login: " , "underc0de" )
pass = prompt ("Wargame Pass: " , "" )

  }
</script>
de aki nos muestra la foto de un anciano
You are not allowed to view links. Register or Login
ok no hay anda de info en el codigo asi ke como veo ke ponen mucho de moda meter seudo "stenografia" dije a la madre tendre ke volver a hacer lo de buscar bytes con menos valor en la escala de colores
pero no fue mas facil
solo tenias ke abrir la imagen con un hec editor y al final del archivo sin okultarlo nada nos encontramos con
/pumba.php
asi ke ahora nso manda a
You are not allowed to view links. Register or Login
nos da una pagina 404 ke es cagada por ke podria unoc reer ke solo era una pista el pumba.php
intentamos You are not allowed to view links. Register or Login y grave error nos manda a
You are not allowed to view links. Register or Login
asi ke la anterior es una pagina falt apor ke la url anterior es el error 404 por default del hosting
asi ke ahroa solo tenemos ke vovler a ver el codigo fuente
y esta vez con su acostumbrado okultacion de cadenas ovias
lo enontrmaos al priemr vistaso
Código: You are not allowed to view links. Register or Login
<p>
If you think this is a server error, please contact
the <a href="mailto:cianuro.php">webmaster</a>.

</p>
ok ahora saltamos a You are not allowed to view links. Register or Login
la cual otra vez es una caja de texto y un boton
ok ahroa no me verna al cara,
vemos el codigo fuente y otra vez es mandar las variables por get
Código: You are not allowed to view links. Register or Login
<form method="get" action="cia.php" >
<input type="text" name="nada" />
<input type="submit" value="XSS" />
</form>
osea nos manda a You are not allowed to view links. Register or Login
otra vez la variable es nada
aki solo hay ke hacer un par de preuvas para ver ke nos permite meter practicamente cualkier caracter pero lo manda a htlmencode
asi ke podemos poner nuestros <> y los veremso impreso pero no ejecutado
pero ke pasa si metemos el caracter con doble codificacion
o lo ke e slo mismo
en vez de mandarlo como
%3C para imprimir <
lo mandamos como %253C
esta vez nos imprime el < pero si vemos el fuente no esta en htmlencode
si no ke realmetne lo imrpime
asi ke solo se necesita un poko de imaginacion para codificar el javascript
y se ejecute
como tenemso macquotes pro default no nso dejara meter comillas o simples
asi ke okupamso una codificaicon sencilla y basica para meer nuestra cadena de texto
Citar
You are not allowed to view links. Register or Login
y eh aki el resultado

pa ke no digan ke uno no pasa los retos y demaz
y si no aparecen las variables en alc aptura de pantalla es por ke opera esconde las variables cuando pierde el fokus
asi ke diviertanse niños y a lammerear defacenado mas webs con xss  ;)

Páginas: [1]