Reto XSS #1 [Fácil]

Nobody · Abril 08, 2018, 06:20:17 PM

¡Hola a todos!
Hace mucho que no me pasaba por acá, ¿cómo están?

Sencillamente, hablando sobre CTF con un colega que pertenece a éste foro, se me ocurrió hacer un reto sencillito de XSS...
Bueno, en realidad él me pidió si podía hacer un reto CTF y no sé porqué terminé haciendo esto.

No doy más vueltas.
URL: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

¡Eh! Estoy probando ese hosting gratuito (qué va, tenía que subirlo a algún lado), así que no me sorprendería que en un par de días lo cierren. Si ésto sucede, lo volveré a subir.

Por si las moscas, cuando un par de personas lo resuelvan, publicaré el sencillo código.

EDITO:
Aquí va el código fuente de este sencillo reto, para los que ya lo resolvieron o tienen problemas para hacerlo.
Por favor, no veas el código antes de intentar resolver el reto, perdería la gracia totalmente.
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Saludos.

Gn0m3 · Abril 09, 2018, 06:23:53 PM

Hola Nobody,
Efectivamente ya lo han bajado:
!! Most likely this account was terminated for No tienes permitido ver enlaces. Registrate o Entra a tu cuenta infringement or account is new and index is missing.[/size]

Saludos

Gn0m3

Nobody · Abril 10, 2018, 08:11:50 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Hola Nobody,
Efectivamente ya lo han bajado

¡Hola Gn0m3!
Gracias por avisar, ya actualicé el link.

Bartz · Abril 23, 2018, 07:40:09 PM

Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?

rollth · Abril 24, 2018, 04:21:04 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Hola underc0ders, Estoy practicando los XSS y logré hacer el otro reto (el de la pagina vieja) y logre completarlo
Pero en este caso no puedo conseguir inyectar debido a supongo una defensa 'antixss' que tiene el sitio

Podrian darme una mano ?

Está usando esta función:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Que tiene una diferencia sustancial con esta otra:
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

A ver si te sirve

Saludos.

Nobody · Abril 25, 2018, 11:31:09 PM

Como información extra a la que nuestro amigo Rollth nos dio, quiero decir que nunca confíen en la información que dan los navegadores, tal vez agregan o remueven ciertos caracteres... wget es mejor

Saludos.

HckDrk · Abril 28, 2018, 10:20:35 PM

listo!

Se parece un poco a No tienes permitido ver enlaces. Registrate o Entra a tu cuenta que hice hace mucho, pero este tiene un poco mas de dificultad. XD

Saludos!

BitCde · Abril 29, 2018, 01:36:03 PM

reto completado

Nobody · Abril 30, 2018, 09:03:01 AM

¡Enhorabuena a los que lo resolvieron!
Esperaré algunas soluciones más para liberar el código y posteriormente publicar la segunda versión de éste reto.

Saludos!

ragaza · Mayo 15, 2018, 09:37:19 PM

y la solucion para el 2040...

Nobody · Mayo 16, 2018, 12:22:46 AM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
y la solucion para el 2040...

¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Saludos.

Drok3r · Mayo 16, 2018, 12:35:19 AM

Listo

Bartz · Mayo 16, 2018, 05:48:53 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
¡Hola!
El código fuente, con su respectivo payload funcional se encuentran al final del post.

Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color

Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !

Nobody · Mayo 16, 2018, 11:28:12 PM

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Fuck ! Funciona solo con ese color ? Porque te juro que probé ese payload pero en otro color
Gracias Por la solución, ya me pongo a intentar con el proximo que subiste !

No, funcionaria con cualquier color, ese mismo lo usé de ejemplo.

Saludos.

ragaza · Mayo 18, 2018, 01:16:37 PM

no entiendo la solucion es el html.... pero el codigo como lo inyectas..

xyz · Mayo 18, 2018, 03:31:36 PM

Hola @No tienes permitido ver enlaces. Registrate o Entra a tu cuenta.

Lo que tienes es un formulario (html), la inyección del payload lo realizas en uno de los valores que envía el formulario.

Un saludo .!

ragaza · Mayo 19, 2018, 03:43:46 PM

si pero la solucion que proporciona es un codigo en html por eso pregunto.

user_en1gm4 · Mayo 19, 2018, 08:21:02 PM

Me gustan estos tipos de retos, ademas
se me habia olvidado que hacia la funcion htmlentities con el parametro ENT_QUOTES, convierte todas las comillas simples y dobles
y con str_ireplace se remplazan unos caracteres o funciones epecificas, por eso hay que convertir el string, nice!

arthusu · Agosto 08, 2018, 04:10:31 AM

Reto XSS #1 [Fácil]

Nobody

Abril 08, 2018, 06:20:17 PM Ultima modificación: Mayo 01, 2018, 01:54:30 PM por Nobody

Gn0m3

Abril 09, 2018, 06:23:53 PM #1

Nobody

Abril 10, 2018, 08:11:50 PM #2

Bartz

Abril 23, 2018, 07:40:09 PM #3

rollth

Abril 24, 2018, 04:21:04 AM #4

Nobody

Abril 25, 2018, 11:31:09 PM #5

HckDrk

Abril 28, 2018, 10:20:35 PM #6

BitCde

Abril 29, 2018, 01:36:03 PM #7 Ultima modificación: Abril 29, 2018, 02:00:35 PM por BitCde

Nobody

Abril 30, 2018, 09:03:01 AM #8

ragaza

Mayo 15, 2018, 09:37:19 PM #9

Nobody

Mayo 16, 2018, 12:22:46 AM #10

Drok3r

Mayo 16, 2018, 12:35:19 AM #11

Bartz

Mayo 16, 2018, 05:48:53 PM #12

Nobody

Mayo 16, 2018, 11:28:12 PM #13

ragaza

Mayo 18, 2018, 01:16:37 PM #14

xyz

Mayo 18, 2018, 03:31:36 PM #15

ragaza

Mayo 19, 2018, 03:43:46 PM #16

user_en1gm4

Mayo 19, 2018, 08:21:02 PM #17

arthusu

Agosto 08, 2018, 04:10:31 AM #18