Underc0de

hola todos! (:

he hecho este pequeño reto, esta bastante fácil, espero que muchos participen xD
consiste en mostrar un alert, imprimir pantalla y mostrar aquí la imagen de su alert

aquí les dejo el mio xD...

http://hckdrk.webcindario.com/WrG/color.php

(http://img835.imageshack.us/img835/7284/wr3s.png)

Saludos!! (:

buen reto bro ;)
(http://i.imgur.com/hyi57.png)

(http://i.imgur.com/vN1Eu.png)

;D

(http://i.imgur.com/dAFXi.png)

(http://i.imgur.com/3OP9k.png)

Lo Logre porfin mi primer XSS casi lloro  :'(..

Nice  ;)

(http://i.imgur.com/J1fbh.png?1)

Llegando Tarde...
(http://i49.tinypic.com/10r2xde.png)

Bueno ese reto... :D
(http://i.imgur.com/mzKO9.png)

Contactame para programar uno super complicado los 2 :D

Saludos.

Me da flojera subir la screenshot pero me pareció bueno, estaría genial que se publicara uno mucho más complicado. (No sólo filtrar el script ;) )

Zalu2

Creo que lo mejor será enviarte solo un MP con el vector, estubo bueno el reto.

Saludos

Muy bueno! Aca va el mio

(http://img24.imageshack.us/img24/8623/xssz.png)

Estuvo entretenido. Especial para los que empiezan a aprender.

Aqui dejo mi captura

(http://i.imgur.com/0Y3EU.png)

Aprendiendo...  8)

(http://img407.imageshack.us/img407/7528/xssh.jpg)

:D
(http://k32.kn3.net/E76DE8C37.png)
Por si no se ve.
http://k32.kn3.net/E76DE8C37.png

Uno más ;)

(http://img853.imageshack.us/img853/1569/hackatack.png) (http://imageshack.us/photo/my-images/853/hackatack.png/)

Saludos,  la verdad aunque llevo mucho  tiempo  registrado hasta  ahora  me dedico a leer post,  mi preguta es:  como era la solución?  traté de hacer algo basico pero no me dio.

Gracias

Sin duda demoré bastante. Tenía la idea de cómo hacerlo pero no me funcionaba. Hasta que lo saqué.

(http://i49.tinypic.com/344drpg.png)

(http://s2.subirimagenes.com/imagen/8310750xxs2.png)

hace rato que no visitaba el foro y bueno me anime a algunos wargames  :D

(http://s2.subirimagenes.com/imagen/previo/thump_8318056underc0dewargame.png) (http://www.subirimagenes.com/imagen-underc0dewargame-8318056.html)


salu2

(http://imgurhs.hol.es/tmp/6f64fe71fd.png)
Muy facil :P
Saludos de Jonax

Muy bueno el reto, en especial para los que empiezan en este mundo...

(http://4.bp.blogspot.com/-ObshELuwKpI/UXuAwuQNbMI/AAAAAAAABPY/EK0x8TIBWt8/s1600/XSS_Underc0der_Hackem.PNG)

Saludos!!  ;D

(http://img10.imageshack.us/img10/9527/xssss.png)

Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Pues con nuestro amigo Live Http headers, y poco más, está echo en un segundo xD.
(http://i.imgur.com/CHKvwgt.png)

(http://i.imgur.com/49YM0lA.jpg)

Buenas! Estoy empezando ahora con XSS... pero tengo una dudilla, ya que no sé si lo estoy haciendo correctamente: Pongo el texto en blanco, por si alguien lo lee y no quiere "pistas".

Básicamente, modifico el html del botón con un evento onClick, que ejecuta el javascript. Así es como debe hacerse?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Una pista, cómo se manda la información para el cambio de color? y cómo puedes manipular eso?  ;)

Suerte!!

Chevere
(http://s2.subirimagenes.com/imagen/8408584for.png)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Yo lo he intentando... pero soy un paquete con xss, leere mas y seguiremos probando!

Una pista, cómo se manda la información para el cambio de color? y cómo puedes manipular eso?  ;)

Suerte!!

Buenas! si no lo entiendo mal, se manda por metodo POST, con el content color=xxxx, pero una vez tengo la cabezera modificada, la opcion "Repetir" de http live headers, no hace nada. Osea no vuelve a hacer la peticion al servidor... Seguire probando!

---

EDITO :

Ya lo tengo! Mi primer xss, me he emocionado y todo!  ;D

Podriais hacer mas y mas complejos!

(http://oi41.tinypic.com/11hqro8.jpg)

No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no :(

Miyavi y rollth, editar el HTML en local no cuenta...

Un saludo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Miyavi y rollth, editar el HTML en local no cuenta...

Un saludo.

LOOOOOOOOOOOOOL jajajajajajajajaja de eso no me di cuenta xDDDDDDDDDDD
Por cierto, este no lo resolví yo :O

(http://i.imgur.com/wRaIeuy.png)
Link: http://i.imgur.com/wRaIeuy.png

Yo tampoco había puesto mi captura así que la pongo aquí:

(http://i.imgur.com/JlbbgoE.png)


En cuanto a Miyavi y rollth, quizás un Control + U os ayude ;)

Un saludo.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no :(

Tiene la parte fundamental hecha, solo le falta algo muy importante y es, que verificamos cuando tenemos un xss?.

Saludos.

PD: No entiendo porque desde url no sirve, supongo que tendrá que ver la forma del GET/POST de http pero no estoy seguro.

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No se si voy bien, he modificado el select por input y puse "><script>alert("XSS")</script>

El script me lo acepta, pero lo de dentro no :(

Tiene la parte fundamental hecha, solo le falta algo muy importante y es, que verificamos cuando tenemos un xss?.

Saludos.

PD: No entiendo porque desde url no sirve, supongo que tendrá que ver la forma del GET/POST de http pero no estoy seguro.

El método es por POST, si lo estás haciendo de otra forma (editando con Firebug o parecidos) lo estás haciendo mal.

Aquí va el mío.

(http://sia1.subirimagenes.net/img/2014/07/29/140729065110873783.png)

Saludos!
WhiZ

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.

(http://sia1.subirimagenes.net/img/2014/07/29/140729065110873783.png)

Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.

(http://sia1.subirimagenes.net/img/2014/07/29/140729065110873783.png)

Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

Jeje hace unos días pensé en proponer algo así como carta de presentación del URS_Team. No estaría mal, no?

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Aquí va el mío.

(http://sia1.subirimagenes.net/img/2014/07/29/140729065110873783.png)

Saludos!
WhiZ

Lo siento, no has pasado el reto, consistía en poner un alert... No, es broma, me ha gustado mucho tu idea de poner la web de Under y tu nombre en vez de un alert...

Jeje hace unos días pensé en proponer algo así como carta de presentación del URS_Team. No estaría mal, no?

Se puede hacer bien y quedaría genial la verdad... Es una gran idea, proponlo en su sección y a ver que dice el resto...

Un saludo

no se como le hacen desde el navegador "normal" para enviar parámetros post? ://
(http://i58.tinypic.com/108cvtk.png)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
no se como le hacen desde el navegador "normal" para enviar parámetros post? ://
(http://i58.tinypic.com/108cvtk.png)

Yo uso una extensión, Live HTTP headers, también te puede servir tamper data, pero prefiero la primera.

Thanks u . (http://i.imgur.com/AEhY9ca.png)

Buenas... Sé que es un tema bastante viejo pero, empezando con XSS, quería probar con algún wargame de acá y me tropecé con éste que no puedo resolver de otra forma que no sea editando el html en local para que tire el alert cuando se haga clic en el botón... (Mal.)

El tema es... ¿Cómo lo hicieron?

Me desalienta que diga [muy fácil] porque quizá si es muy fácil y yo no me doy cuenta o qué onda... Instalé el Live HTTP Headers pero no encuentro nada "útil" a mis mortales ojos. Si. Soy bastante novato, es la primera vez que veo ese complemento y me falta bastante pero... Me intriga saber cómo hacer éste ataque XSS...

Gracias de antemano :P

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Buenas... Sé que es un tema bastante viejo pero, empezando con XSS, quería probar con algún wargame de acá y me tropecé con éste que no puedo resolver de otra forma que no sea editando el html en local para que tire el alert cuando se haga clic en el botón... (Mal.)

El tema es... ¿Cómo lo hicieron?

Me desalienta que diga [muy fácil] porque quizá si es muy fácil y yo no me doy cuenta o qué onda... Instalé el Live HTTP Headers pero no encuentro nada "útil" a mis mortales ojos. Si. Soy bastante novato, es la primera vez que veo ese complemento y me falta bastante pero... Me intriga saber cómo hacer éste ataque XSS...

Gracias de antemano

Mañana te mando un mp con la explicación. Si hckdrk lo permite, dejaré un Link para descargar un pdf con la solución. 

Saludos!
WhiZ

@Andreus No, lo que sucede es que quizás te desconcierte porque comúnmente hay tutoriales de XSS por método GET y es lo que mas se ve, pero en realidad es lo mismo solo que cambia el metodo por POST (tenes que conocer previamente como funciona PHP con estos métodos), al ser por POST con un editor de cabeceras o "headers" (en este caso yo estoy utilizando BurpSuite) te permite ver la info. que pasa por post al correr el script y de ahí con un poco de imaginación solo tienes que ver donde inyectas el código, cualquier cosa me puedes hablar por MP, Saludos!

EDIT: si WhiZ puede estaría bueno que  suba algún tuto de como solucionar el reto para que la gente que recién comienza entienda.

Dejo el mio :P!

Divertido gracias por el pequeño reto  ;D

(http://i.imgur.com/h0LCpb8.png)

Saludos!

Mi primer XSS. Gracias WhiZ por la orientación.


Saludos Cordiales

Bien facil pero bueno para los principiantes en xss , gracias amigo.m resuelto

Mi primer reto XSS!

(https://image.ibb.co/fGv6Fm/reto_XSS_Under.png)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Mi primer reto XSS!

(https://image.ibb.co/fGv6Fm/reto_XSS_Under.png)

Hola!!

Después de 5 años siguen usando este reto! muchas gracias a todos!!

Saludos.

Ya ha pasado algún tiempo debería poner la solución el primero que lo soluciono o el dueño del post

(https://image.ibb.co/jAmc6x/Reto_XSS.png)

muy bueno para los que se están iniciando :D

Cosa curiosa que no se si los otros usuarios que resolvieron el "reto" detectaron... pues al capturar la info que se envia en post.... me encontre con esto....

Sera parte del reto...? -_-

(https://i.imgur.com/257b788.png)

Gracias por postear estos retos !!
Logre hacer este que es MUY facil pero sigo luchando con el nuevo que solo es "facil" jaja  ;D
(https://i.imgur.com/zUTlthm.png)

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Cosa curiosa que no se si los otros usuarios que resolvieron el "reto" detectaron... pues al capturar la info que se envia en post.... me encontre con esto....

Sera parte del reto...? -_-

(https://i.imgur.com/257b788.png)

Dah! obviamente eso no es parte del reto jajaja

Esa información que muestras no se envía por mi parte, ya que solo recibo un parametro por post y lo muestro en el select.

Tengo teorias
1. lo pusiste solo para molestar
2. algun script de mi@ lo insertó ahi, y es enviado para uso de mi@ (me hospedo en mi@)

https://ibb.co/8d4RXTQ (https://ibb.co/8d4RXTQ)
edito el mensaje resulta ser que si me salia pero el bendito chrome no me mostraba las alertas xD esta bueno para empezar esto

(https://i.postimg.cc/BZDygYjB/Xss.png)

(https://i.ibb.co/cDqS4by/Mi-primer-XSS.png)

No se ve mucho por el tamaño de mi pantalla pero conseguido. :)

(https://imgur.com/siEkONf.png)