comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Reto XSS #1 [Fácil]

  • 18 Respuestas
  • 4181 Vistas

0 Usuarios y 2 Visitantes están viendo este tema.

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« en: Abril 08, 2018, 06:20:17 pm »
¡Hola a todos!
Hace mucho que no me pasaba por acá, ¿cómo están?

Sencillamente, hablando sobre CTF con un colega que pertenece a éste foro, se me ocurrió hacer un reto sencillito de XSS...
Bueno, en realidad él me pidió si podía hacer un reto CTF y no sé porqué terminé haciendo esto.

No doy más vueltas.
URL: http://nobodytl.cf/xss1.php

¡Eh! Estoy probando ese hosting gratuito (qué va, tenía que subirlo a algún lado), así que no me sorprendería que en un par de días lo cierren. Si ésto sucede, lo volveré a subir.

Por si las moscas, cuando un par de personas lo resuelvan, publicaré el sencillo código.

EDITO:
Aquí va el código fuente de este sencillo reto, para los que ya lo resolvieron o tienen problemas para hacerlo.
Por favor, no veas el código antes de intentar resolver el reto, perdería la gracia totalmente.
http://nobodytl.cf/src/xss1.txt

Saludos.
« Última modificación: Mayo 01, 2018, 01:54:30 pm por Nobody »

Desconectado Gn0m3

  • *
  • Underc0der
  • Mensajes: 394
  • Actividad:
    0%
  • Reputación 2
    • Ver Perfil
    • Underc0de
« Respuesta #1 en: Abril 09, 2018, 06:23:53 pm »
Hola Nobody,
Efectivamente ya lo han bajado:
!! Most likely this account was terminated for terms infringement or account is new and index is missing.[/size]

Saludos

Gn0m3

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #2 en: Abril 10, 2018, 08:11:50 pm »
Hola Nobody,
Efectivamente ya lo han bajado

¡Hola Gn0m3!
Gracias por avisar, ya actualicé el link.

Desconectado Bartz

  • *
  • Colaborador
  • *
  • Mensajes: 93
  • Actividad:
    28.33%
  • Reputación 4
  • ~Afaik~
    • Ver Perfil
« Respuesta #3 en: Abril 23, 2018, 07:40:09 pm »
Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?


Con la fuerza del mar, con la paz del rio


Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 874
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #4 en: Abril 24, 2018, 04:21:04 am »
Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?
Está usando esta función:
http://php.net/manual/es/function.str-replace.php

Que tiene una diferencia sustancial con esta otra:
http://php.net/manual/es/function.str-ireplace.php

A ver si te sirve  ;)

Saludos.

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #5 en: Abril 25, 2018, 11:31:09 pm »
Como información extra a la que nuestro amigo Rollth nos dio, quiero decir que nunca confíen en la información que dan los navegadores, tal vez agregan o remueven ciertos caracteres... wget es mejor ;)

Saludos.

Desconectado HckDrk

  • *
  • Underc0der
  • Mensajes: 55
  • Actividad:
    0%
  • Reputación 0
  • http://127.0.0.1
    • Ver Perfil
    • HckDrk
« Respuesta #6 en: Abril 28, 2018, 10:20:35 pm »
listo!

Se parece un poco a mi wargame que hice hace mucho, pero este tiene un poco mas de dificultad. XD

Saludos!






Desconectado BitCde

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #7 en: Abril 29, 2018, 01:36:03 pm »


reto completado  :)
« Última modificación: Abril 29, 2018, 02:00:35 pm por BitCde »
La mayoría de los hombres no carecen de fuerza, sino de constancia

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #8 en: Abril 30, 2018, 09:03:01 am »
¡Enhorabuena a los que lo resolvieron!
Esperaré algunas soluciones más para liberar el código y posteriormente publicar la segunda versión de éste reto.

Saludos!

Desconectado ragaza

  • *
  • Underc0der
  • Mensajes: 48
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Mayo 15, 2018, 09:37:19 pm »
y la solucion para el 2040...

Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #10 en: Mayo 16, 2018, 12:22:46 am »
y la solucion para el 2040...

¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Saludos.

Desconectado Drok3r

  • *
  • Underc0der
  • Mensajes: 47
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • RedBird
  • Twitter: @drok3r
« Respuesta #11 en: Mayo 16, 2018, 12:35:19 am »
Listo


Desconectado Bartz

  • *
  • Colaborador
  • *
  • Mensajes: 93
  • Actividad:
    28.33%
  • Reputación 4
  • ~Afaik~
    • Ver Perfil
« Respuesta #12 en: Mayo 16, 2018, 05:48:53 pm »
¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color  >:(
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !


Con la fuerza del mar, con la paz del rio


Desconectado Nobody

  • *
  • Underc0der
  • Mensajes: 197
  • Actividad:
    1.67%
  • Reputación 4
  • Security as art.
    • Ver Perfil
    • Nobody Test Laboratory
  • Twitter: @n0bodysec
« Respuesta #13 en: Mayo 16, 2018, 11:28:12 pm »
Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color  >:(
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !

No, funcionaria con cualquier color, ese mismo lo usé de ejemplo.

Saludos.

Desconectado ragaza

  • *
  • Underc0der
  • Mensajes: 48
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #14 en: Mayo 18, 2018, 01:16:37 pm »
no entiendo la solucion es el html.... pero el codigo como lo inyectas..

Conectado xyz

  • *
  • Moderador Global
  • Mensajes: 473
  • Actividad:
    5%
  • Reputación 10
    • Ver Perfil
    • Under0cde
« Respuesta #15 en: Mayo 18, 2018, 03:31:36 pm »
Hola @ragaza.

 Lo que tienes es un formulario (html), la inyección del payload lo realizas en uno de los valores que envía el formulario.

Un saludo .!

Desconectado ragaza

  • *
  • Underc0der
  • Mensajes: 48
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #16 en: Mayo 19, 2018, 03:43:46 pm »
si pero la solucion que proporciona es un codigo en html por eso pregunto.

Desconectado user_en1gm4

  • *
  • Underc0der
  • Mensajes: 53
  • Actividad:
    3.33%
  • Reputación 2
  • 01 01
    • Ver Perfil
    • Email
« Respuesta #17 en: Mayo 19, 2018, 08:21:02 pm »

Me gustan estos tipos de retos, ademas
se me habia olvidado que hacia la funcion htmlentities con el parametro ENT_QUOTES, convierte todas las comillas simples y dobles
y con str_ireplace se remplazan unos caracteres o funciones epecificas, por eso hay que convertir el string, nice!


Desconectado arthusu

  • *
  • Underc0der
  • Mensajes: 552
  • Actividad:
    3.33%
  • Reputación 2
  • Yo solo se que no se nada - Socrátes
    • Ver Perfil
    • Arthusu BLOG
  • Skype: arthusuxD
« Respuesta #18 en: Agosto 08, 2018, 04:10:31 am »
Pentest - Hacking & Security Services

Contact me: arthusu@gmail.com

 

¿Te gustó el post? COMPARTILO!



Reto "Crackea el Menú"

Iniciado por Zekro

Respuestas: 2
Vistas: 1844
Último mensaje Noviembre 29, 2012, 05:57:24 pm
por Zekro
[Solucionario] Reto "Descubre la frase"

Iniciado por q3rv0

Respuestas: 10
Vistas: 3925
Último mensaje Agosto 13, 2012, 04:24:40 pm
por hdbreaker
Un Crackme que hice hace tiempo, haber si alguien lo resuelve [RETO]

Iniciado por LauBuru

Respuestas: 2
Vistas: 2317
Último mensaje Abril 04, 2016, 12:07:45 pm
por rush
[RETO] Wargame Lógica-Cifrado - Nivel Medio

Iniciado por fermino

Respuestas: 9
Vistas: 3759
Último mensaje Septiembre 28, 2017, 11:05:07 am
por xyz
[RETO] Desofusca mi codigo y dime por que siempre gano ;)

Iniciado por 79137913

Respuestas: 9
Vistas: 3942
Último mensaje Febrero 15, 2013, 07:05:19 pm
por alexander1712