Hace un año, cuando me rete a bypassear el filtro del instituto se me ocurrieron muchas formas de hacerlo, haciendo pings a sitios web para conseguir su IP y así probar entrar por la ip en el 80, ya que la mayoría de filtros se basan en la url. Una de estas formas fue usando php y python.

El script en PHP lo que hacía era bajarse la web que yo elejía y luega mostrando el HTML.(muy churro), luego para no ir a la web y tal me hice este script en python:

#!/usr/bin/python
# Envia los parametros al servidor.

import httplib, urllib, sys 
parametros = urllib.urlencode({'web': sys.argv[1]}) 
cabeceras = {"Content-type": "application/x-www-form-urlencoded","Accept": "text/plain"} 
conexion = httplib.HTTPConnection("www.web.com:80") 
conexion.request("POST", "archivo.php", parametros, cabeceras) 
respuesta = conexion.getresponse() 
jiej= respuesta.status
juoj= str(respuesta.status)
if jiej==200:
    print 'La web: '+str(sys.argv[1])+' a sido \'desbloqueada\'!'
else:
    print 'Error: '+juoj

conexion.close()

No tengo mucho más que contar...

Antes que nada, quiero darle todos los créditos a Sven Vetsch, ya que este paper se basa en el suyo (en ingles)  sobre XSIO.

<------------------Cross Site Image Overlaying------------------ >

0x01-> Introducción.
0x02-> Explicación

+---------------------------------------------------------------------------------------------------------------------+

Cross Site Image Overlaying     

Esta variante del XSS es una forma de jugar con los estilos(css) y los tags html permitiendo asi conseguir hacer pishing u otros ataques similares.

Este tipo de ataques son interesantes de aprovechar en el caso de no poder ejecutar JavaScript por culpa de un WAF o filtro que haya por ahí.

+---------------------------------------------------------------------------------------------------------------------+


El ataque, como comente antes, esta basado en CSS, y la forma de explotarlo es usar style de las etiquetas HTML, quedando un payload como el siguiente:

"><img src='http://image.gif' style='position:absolute;left:500px;top:123px;'/>

Este ataque no tiene mucha dificultad, ya que se trata de usar ir usando los atributos de css y podriamos hacer cosas como estas:

   



Hemos conseguido cambiado el logo, por uno de adobe(aunque no lo parezca), y con esto podríamos hacer creer una falsa sensación de que esta en un sitio You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login puede ver que hemos cambiado un logo por otro. Tambien podriamos poner un link hacía una web con malware alojado.

+---------------------------------------------------------------------------------------------------------------------+

Bienvenidos a este paper de  Image Filename XSS [IFXSS].

<------------------------------------------------------------------------------>

0x01-> Introducción.
0x02-> Explotar la vulnerabilidad
0x04-> Créditos.

+------------------------------------------------------+

Introducción.

Image Filename XSS es el aprovechamiento de $http_post_files['userfile']['name'] que coge el nombre del archivo subido, en el cual nostros añadiremos HTML o Javascript para poder conseguir un XSS.

+-------------------------------------------------------+

Explotando la vulnerabilidad.

Primero tendremos que buscar una aplicación vulnerable para este tipo de ataque, se trata de que se pueda subir jpeg/pdf/doc/txt... (Cualquier archivo)

¿Que tipo de sitios suelen ser vulnerables a IFXSS?

Suelen ser vulnerables los foros, sitios web de almacenamiento, algunos libros de visitas...

¿Como se si es vulnerable?

Para saber si es vulnerable vamos a crear un archivo llamado "><h1>XSS.txt (sin cerrar al final explicare el porqué)

Lo abrimos con un blog de notas o el gedit depende de que SO estes y escribiremos:

"Hola papapa test!"


Ahora vamos a cambiar el .txt por .jpg ya que la mayoria de uploaders permiten .jpg y nos sera más fácil encontrar uno.

Entonces si sale algo parecido a: La imagen: "Nombre imagen" se subio correctamente o un listado con el nombre del archivo que hemos subido podremos probar de inyectar HTML o Javascript

Ahora vamos donde aparece el nombre del archivo.jpg y si es vulnerable el <h1> se ejecuto y todo lo que hay despues de "nombrearchivo.jpg" debería de salir grande  como en la imagen de abajo, en caso de que no salga en grande y salga: "><h1>JKS.jpg pues otra vez será.





Ahora que sabemos que es vulnerable podremos probar de inyectar más códigos como un iframe y "infectarlo" con un beef o otras cositas eso lo dejo para vosotros..

PD: El h1 no lo cerramos porque en Linux  (No se en windows, supongo que también) no deja poner / ya que si se pudiera poner lo interpretaria el archivo como si fuera un directorio a abrir.
Quedando asi la URL del archivo: /home/jks/desktop/archivo.txt/

Aunque siempre nos quedaría probar de bypassear el nombre con el live http headers y cerrar el tag que pusimos

+-------------------------------------------------------+
Creado por: JKS (17-6-2011)


PD: Este paper hara la tira de tiempo que lo hice. El XSS de dropbox esta reportado.