Tema destacado: Entra al canal IRC oficial de #elhacker.net
 Autor
|
Tema: Explotando el bug de hotmail Mar 2007 (Leído 8,261 veces)
|
|
Man-In-the-Middle
|
Bueno , dando leche a estos temas y aprendiendo un poco mas c/dia, dejo un manual de como explotar la vulnerabilidad del movil.msn, (Aun no parchado), en el lapso de 2 dias cerrao  Un paper, muy en general, o como dicen abstracto LOL, no entro en mas detalles por que en verdad esta mas simple que pegarle al chavo del 8(ojo a los que me conocen, sabran que es una chanfaina mis detalles. Nivel +++ Requerimientos: Firefox(plugin web developer) y no ser hijueputa, por que posteo el paper? por que el conocimiento es de todos. y aparte por que por ahi creooo rey 11, dijo que con XSS no se hace nada!!.... se hace mucho http://www.akira-do-jo.thelastart.com/bughotmailmar2007.pdfSaludos! MITM Pd: No hagan huevadas que no quieren que les hagan!!, todo es un BOOOMERANG! |
|
|
|
|
En línea
|
|
|
|
sirdarckcat
Troll Buena Onda y
CoAdmin
 Desconectado
Mensajes: 6.947
Lavando Platos
|
apenas una empresa de seguridad y auditoria de software web, de cuyo nombre no quiero acordarme, mencionó que menos de la mitad de las vulnerabilidades de XSS pueden terminar en comprometer el servidor..
RSnake, como se esperaba salto con tales afirmaciones, y acepto el reto de demostrar lo contrario.. los bugs de XSS, son demasiado peligrosos.. solo que los que saben explotarlos no los usan tanto.. hay otros bugs mas interesantes, y los que no saben, se dedican a robar cookies y guardarlas en un log.
La cantidad de aplicaciones que realmente explotan los bugs de XSS son contados.. fuera del bug de myspace, el de threadferr, y alguna cosa que me enseño Preth00nker, todos los demas son realmente inofensivos.. ya que como ya mencione, un log con cookies NO LO ES TODO.. de hecho eso es NADA.
Si encontramos un XSS en una aplicacion local (como archivos de soporte), podemos comprometer la victima a tal grado de hacer que pierda control total del ordenador.
Se pueden instalar una de las decenas de xssshells, para funcionar como keyloggers, y controlar la navegacion de un usuario ignorante, entre otras muchas cosas.
para terminar, solo quiero dejarlos con que no crean que un XSS es inofensivo, ya que si lo es, y si piensas lo contrario, esporque no sabes explotarlo.
Saludos!!
|
|
|
|
|
En línea
|
|
|
|
GrTk
Desconectado
Mensajes: 185
|
Disculpen mi ignorante pregunta, pero como hago para conseguir la cookie (a la que quiero entrar)
|
|
|
|
|
En línea
|
|
|
|
|
|
GrTk
Desconectado
Mensajes: 185
|
gracias es lo que necesitaba
|
|
|
|
|
En línea
|
|
|
|
-sagitari-
Desconectado
Mensajes: 1.640
:D
|
gracias es lo que necesitaba
diría que ya está parchado, no?
|
|
|
|
|
En línea
|
|
|
|
Alesiter
Desconectado
Mensajes: 187
|
de q trata este bug?no le enteindo
entra a la bandeja de entrada de una victima por medio de los cookies? es eso?
de ser asi ,como averiguo su pass estando dentro su cuenta?
|
|
|
|
|
En línea
|
|
|
|
Ilorev
Desconectado
Mensajes: 473
???
|
el bug se llama xss ( cross site script ) , en este caso se aprovecha para robar las cookies de la victima , y asi acceder a la bandeja de entrada ... , si lee un poco mas sobre los xss , mas a comprender mejor
|
|
|
|
|
En línea
|
EOF
|
|
|
R-Q-X
Desconectado
Mensajes: 43
|
Disculpen mi ignorancia hace ya un poco de tiempo q estoy con esto.. y no puedo hacer q me llege un mail con la cookie..lo quiero hacer enviandole un mail a la victima con un link y q me mande la cookie...estoy utilizando javascript, php y html.
si necesitan los codes para ayudarme los posteare
salu2
|
|
|
|
|
En línea
|
Que fue lo mas inteligente que salio de la boca de una mujer?
la p*j* de A.Einstein
|
|
|
|
dimitrix
|
Mi enhorabuena, facil de comprender y de usar (no lo usare, lo prometo) pero una cosa, esa barrita para modificar la galleta (como el icono es de pastelero) que aparece en el FF como la consiguo ¿? |
|
|
|
|
En línea
|
|
|
|
|
|
^Winder^
Desconectado
Mensajes: 2.768
El mundo no es tuyo, es de todos.
|
no quiero molestar....  pero este tema no va contra las normas del foro? veo muy bien avisar para que nadie se fie de ciertas webs y ciertos email con ciertos enlaces peligrosos,pero explicar como hacer la jugarreta aunque al mismo tiempo se diga que no se utilice me parece contradictorio.... no creen? PD: ya sé que aun no han borrado este tema,y que eso debe ser por algo...pero lo admito,no entiendo ese "algo"  |
|
|
|
|
En línea
|
 Yo apoyo la esperanza de Caylees. Frenemos la Leucemia:www.cayleeshope.comLibertad conquistada. (Justicia  ) |
|
|
|
Man-In-the-Middle
|
no quiero molestar.... pero este tema no va contra las normas del foro? veo muy bien avisar para que nadie se fie de ciertas webs y ciertos email con ciertos enlaces peligrosos,pero explicar como hacer la jugarreta aunque al mismo tiempo se diga que no se utilice me parece contradictorio....
no creen?
PD: ya sé que aun no han borrado este tema,y que eso debe ser por algo...pero lo admito,no entiendo ese "algo" Sobre ese tema!!!, que te puedo decir, Normas, que normas, se solto la explotacion, para explicar un tema de XSS, ya que casi el 90% del foro (dentro me incluyo), no entienden a un 100 % como explotar o lo peligroso que puede ser, el solo dar un click a un enlace. Si usas la tecnica o no ya es cuestion de c/uno. si no se llamaria este subforo de otra forma. Y para terminar se solto el tema " ", cuando se sabia que Hotmail, ya estaba parchando este bug, en cuestion de horas, lo cualllllll, no quiere decir, que xss no funcione, hay para darle para rato,  , bueno si no te gusta! te vistes y te vas LOLLL
|
|
|
|
|
En línea
|
|
|
|
|
|
|
Man-In-the-Middle
|
Naa hombre no hay problema, para eso es un foro, para debatir, Saluuos |
|
|
|
|
En línea
|
|
|
|
|
 |
