Taller de Seguridad Web #1

  • 36 Respuestas
  • 35560 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado neoxalber

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Junio 14, 2015, 08:26:03 pm
una duda por que al inyectar el codigo para robar cookies no me aprecen las cookies solo esto url/hacking/undercode/xss/visitas/cookies.php?cookie=(aqui no aparece nada)  espero y me puedan ayudar de antemano gracias  ;D

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5667
  • Actividad:
    63.33%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:Taller de Seguridad Web #1

  • en: Junio 14, 2015, 09:07:03 pm
@You are not allowed to view links. Register or Login podrías dar un poco mas de detalles? no alcancé a entenderte bien

Saludos!
ANTRAX


Desconectado neoxalber

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Junio 14, 2015, 09:26:26 pm
bueno lo que pasa es que al momento de hacer pruebas de robo de cookies e inyectar  el codigo que dejaron (<script>window.location='You are not allowed to view links. Register or Login</script>) claro con la url mia donde esta alojado el .php solo queda asi  url/hacking/undercode/xss/visitas/cookies.php?cookie= en donde deberia arrojar las cookies solo esta en blanco(vi que debe de aparecer algo parecido a esto PHPSESSID=) ese espacio queda en blanco, las pruebas las hice con el index.php y el enviar.php que dejadon las subi tanto a mi servidor local y a un hosting pero solo se queda asi , crei que era la vercion de navegador y lo probe en el movil y quedo igual , disculpa por no tener un lenguaje amplio  en este tema , soy algo nuevo gracias :)

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5667
  • Actividad:
    63.33%
  • Country: ar
  • Reputación 37
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:Taller de Seguridad Web #1

  • en: Junio 14, 2015, 09:58:52 pm
Proba poniendo esto asi:

<script>alert(document.cookie)</script>

Eso debería mostrarte la cookie en un alert y ahi te fijas si verdaderamente aparece algo en blanco


Desconectado bernatixer

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
  • Not yet
  • Skype: bernat.torres.bellido
  • Twitter: BernatTorres
    • Ver Perfil
    • bernatixer

Re:Taller de Seguridad Web #1

  • en: Enero 02, 2016, 09:24:34 am
Muy bien escrito y fácil de entender, gracias por el aporte!
You are not allowed to view links. Register or Login

Desconectado inigomad

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 29, 2016, 07:06:53 am
Buenas. Tengo una duda con el taller, que por cierto me parece que está genial. Para robar la cookie se usa la página vulnerable message.php que es bastante más compleja que la que se propone para crear comentarios (index.php). ¿Está el código de esa página message.php accesible en algún lugar? Supongo que habrá una gestión de usuarios y creación de la cookie a robar.

Gracias y muy buen trabajo!

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1951
  • Actividad:
    13.33%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Febrero 29, 2016, 07:53:24 am
You are not allowed to view links. Register or Login
Buenas. Tengo una duda con el taller, que por cierto me parece que está genial. Para robar la cookie se usa la página vulnerable message.php que es bastante más compleja que la que se propone para crear comentarios (index.php). ¿Está el código de esa página message.php accesible en algún lugar? Supongo que habrá una gestión de usuarios y creación de la cookie a robar.

Gracias y muy buen trabajo!

La página message.php no es vulnerable, la que es vulnerable (ya que no filtra el XSS), es el index.php (la que muestra los mensajes).

La web que se utiliza es el típico libro de visitas.

Saludos.


Desconectado inigomad

  • *
  • Underc0der
  • Mensajes: 2
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 29, 2016, 08:33:29 am
Pero entonces no hay cookie que secuestrar. Index.php no genera ninguna cookie, ni se administra usuarios, al usar cookie.php meterá un valor en blanco.

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1951
  • Actividad:
    13.33%
  • Country: es
  • Reputación 16
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Marzo 01, 2016, 06:24:17 am
You are not allowed to view links. Register or Login
Pero entonces no hay cookie que secuestrar. Index.php no genera ninguna cookie, ni se administra usuarios, al usar cookie.php meterá un valor en blanco.

Existe la cookie de la sesión.

Saludos.


Desconectado Voodoo2k

  • *
  • Underc0der
  • Mensajes: 10
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Febrero 13, 2017, 11:44:20 pm
A ver. Estoy intentando capturar la Cookie del administrador.... ya tengo subido los dos archivos: cookie.php y cookies.txt , para eso creé un directorio en la raíz del host llamada XSS para hacer exactamente lo mismo que se hace en el tutorial ... ahora pongo el script exactamente así: <script>window.location='You are not allowed to view links. Register or Login</script> ... pero no me captura nada ... cual podría ser mi error?. Veo que efectivamente cuando inyecto el script me redirige al archivo cookie.php en el host. Pero al ver el archivo cookies.txt no hay nada.

Desconectado Riojas

  • *
  • Underc0der
  • Mensajes: 59
  • Actividad:
    0%
  • Reputación 4
  • -RIOJAS
    • Ver Perfil
    • Arduino Center
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 14, 2017, 06:53:06 pm
Tengo el mismo problema.
Estoy trabajando en un servidor gratuito y al poner el <script>alert(document.cookie);</script> me aparece en blanco.
Pero al ponerlo en una pagina vulnerable que encontré si me muestra la información.
Ayuda porfavor!!

Desconectado The Smiley Man

  • *
  • Underc0der
  • Mensajes: 8
  • Actividad:
    0%
  • Reputación 3
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 14, 2017, 06:59:26 pm
You are not allowed to view links. Register or Login
Tengo el mismo problema.
Estoy trabajando en un servidor gratuito y al poner el <script>alert(document.cookie);</script> me aparece en blanco.
Pero al ponerlo en una pagina vulnerable que encontré si me muestra la información.
Ayuda porfavor!!

Eso me paso al principio pero repase el codigo y re-escribi los "" ' etc. asi se me soluciono.

Desconectado rollth

  • *
  • Ex-Staff
  • *****
  • Mensajes: 876
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
  • Twitter: @RoloMijan
    • Ver Perfil
    • Whateversec
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 14, 2017, 07:32:26 pm
He visto que varias personas tenía problemas con el código del buscador.php
Lo he modificado y ahora sí debería de funcionar.

Saludos.

Rollth
Buen hacker mejor persona.
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login

Desconectado gabe56

  • *
  • Underc0der
  • Mensajes: 4
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Taller de Seguridad Web #1

  • en: Febrero 14, 2017, 07:59:24 pm
You are not allowed to view links. Register or Login
A ver. Estoy intentando capturar la Cookie del administrador.... ya tengo subido los dos archivos: cookie.php y cookies.txt , para eso creé un directorio en la raíz del host llamada XSS para hacer exactamente lo mismo que se hace en el tutorial ... ahora pongo el script exactamente así: <script>window.location='You are not allowed to view links. Register or Login</script> ... pero no me captura nada ... cual podría ser mi error?. Veo que efectivamente cuando inyecto el script me redirige al archivo cookie.php en el host. Pero al ver el archivo cookies.txt no hay nada.

Hola chicos, tengo el mismo problema que Voodo2k. ¿Cual sería la solución a esto?. Gracias, un abrazo.
En constante aprendizaje.

Desconectado Güez

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 14, 2017, 09:52:36 pm
Hay un error en el codigo de "buscador.php"
En la linea 9 y 12, las comillas dobles del "buscar" deben reemplazarse por unas comillas simples '.
De manera que quede asi :
Código: You are not allowed to view links. Register or Login
<html>
        <head>
                <title>Resultado de la busqueda</title>
        </head>
        <body>
<center>
                        <img src="logo.png">
                        <?php
                        
if(isset($_GET['buscar']))
                {
                  
$busqueda$_GET['buscar'];
                echo 
"<p align='center'>No se ha encontrado ningun resultado que contenga:" $busqueda "</p>";       
                }
                
?>

                </center>       
</body>
</html>


Desconectado broxxsm

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Febrero 15, 2017, 04:42:59 pm
Buenas, gran taller amigo me acabo de enterar por el grupo ya que no me di cuenta de los talleres, aun que en la primera parte del tuto me aparecio un error de php en el buscador.php en la linea 9 exactamente, yo lo solucione cambiando las dos comillas que tenia a una solo y me dejo seguir por si alguien le paso. saludos!

Desconectado jfcasillasl

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Taller de Seguridad Web #1

  • en: Agosto 20, 2018, 10:26:45 am
Me ha gustado mucho y es ideal para mi como docente este tutorial,espero y pronto hagan una continuación de este taller, saludos

 

Taller de pentesting con Kali Linux - Parte I

Iniciado por ANTRAX

Respuestas: 59
Vistas: 54883
Último mensaje Abril 12, 2020, 11:53:45 pm
por t4k30v3r
Taller de Pentesting con Kali Linux #2

Iniciado por ANTRAX

Respuestas: 32
Vistas: 32987
Último mensaje Noviembre 10, 2017, 07:40:18 am
por Brittsman97
Taller Programación en Batch #1

Iniciado por ANTRAX

Respuestas: 5
Vistas: 13817
Último mensaje Octubre 21, 2014, 04:53:53 pm
por drotha2
Taller de programacion en Java #1

Iniciado por ANTRAX

Respuestas: 7
Vistas: 9266
Último mensaje Abril 27, 2020, 04:49:08 pm
por Damian Cosmo
Taller Programación en Ruby #1

Iniciado por ANTRAX

Respuestas: 8
Vistas: 9146
Último mensaje Julio 12, 2016, 11:06:52 pm
por m86d19o