Reto XSS #1 [Fácil]

Iniciado por Nobody, Abril 08, 2018, 06:20:17 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Abril 08, 2018, 06:20:17 PM Ultima modificación: Mayo 01, 2018, 01:54:30 PM por Nobody
¡Hola a todos!
Hace mucho que no me pasaba por acá, ¿cómo están?

Sencillamente, hablando sobre CTF con un colega que pertenece a éste foro, se me ocurrió hacer un reto sencillito de XSS...
Bueno, en realidad él me pidió si podía hacer un reto CTF y no sé porqué terminé haciendo esto.

No doy más vueltas.
URL: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

¡Eh! Estoy probando ese hosting gratuito (qué va, tenía que subirlo a algún lado), así que no me sorprendería que en un par de días lo cierren. Si ésto sucede, lo volveré a subir.

Por si las moscas, cuando un par de personas lo resuelvan, publicaré el sencillo código.

EDITO:
Aquí va el código fuente de este sencillo reto, para los que ya lo resolvieron o tienen problemas para hacerlo.
Por favor, no veas el código antes de intentar resolver el reto, perdería la gracia totalmente.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola Nobody,
Efectivamente ya lo han bajado:
!! Most likely this account was terminated for No tienes permitido ver los links. Registrarse o Entrar a mi cuenta infringement or account is new and index is missing.[/size]

Saludos

Gn0m3

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola Nobody,
Efectivamente ya lo han bajado

¡Hola Gn0m3!
Gracias por avisar, ya actualicé el link.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?




Con la fuerza del mar, con la paz del rio


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?
Está usando esta función:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Que tiene una diferencia sustancial con esta otra:
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

A ver si te sirve  ;)

Saludos.
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Como información extra a la que nuestro amigo Rollth nos dio, quiero decir que nunca confíen en la información que dan los navegadores, tal vez agregan o remueven ciertos caracteres... wget es mejor ;)

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

listo!

Se parece un poco a No tienes permitido ver los links. Registrarse o Entrar a mi cuenta que hice hace mucho, pero este tiene un poco mas de dificultad. XD

Saludos!






Abril 29, 2018, 01:36:03 PM #7 Ultima modificación: Abril 29, 2018, 02:00:35 PM por BitCde


reto completado  :)
La mayoría de los hombres no carecen de fuerza, sino de constancia

¡Enhorabuena a los que lo resolvieron!
Esperaré algunas soluciones más para liberar el código y posteriormente publicar la segunda versión de éste reto.

Saludos!
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

y la solucion para el 2040...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
y la solucion para el 2040...

¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color  >:(
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !




Con la fuerza del mar, con la paz del rio


No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color  >:(
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !

No, funcionaria con cualquier color, ese mismo lo usé de ejemplo.

Saludos.
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

no entiendo la solucion es el html.... pero el codigo como lo inyectas..

Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta.

Lo que tienes es un formulario (html), la inyección del payload lo realizas en uno de los valores que envía el formulario.

Un saludo .!

si pero la solucion que proporciona es un codigo en html por eso pregunto.


Me gustan estos tipos de retos, ademas
se me habia olvidado que hacia la funcion htmlentities con el parametro ENT_QUOTES, convierte todas las comillas simples y dobles
y con str_ireplace se remplazan unos caracteres o funciones epecificas, por eso hay que convertir el string, nice!


Pentest - Hacking & Security Services

Contact me: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta