Tema destacado: Últimos eventos sobre seguridad/inseguridad
 Autor
|
Tema: [MOD] Acceso foro mediante XSS (Leído 2,295 veces)
|
_Rankor_
 Desconectado
Mensajes: 17
!!!Abajo las restricciones!!!
|
Hola comunidad... ante todo acudo a ustedes usuarios de mayor experiencia y conocimientos, pues necesito su ayuda... Ya que mis conocimientos no son los suficientes para "esto que deseo hacer": El caso es que deseo adquirir la contraseña de un usuario en cierto foro (Plataforma PHPBB 3.0.8), pues he leído sobre variadas formas como los ataques de BruteForce a PHPbb, los Dictionary Attack, etc, etc pero estos no puedo hacerlos ya que cuento con una velocidad de conexión mínima para serles franco solo navego a 6.5kb (no se sorprendan) sostenido, imagínense... He observado como se mencionan las técnicas de los XSS para engañar a los usuarios, y me parecen bien interesante lástima que cuento con poco conocimiento sobre ello, además de que tengo poco tiempo para estudiar, pues no soy informático y el chance que tengo de "navegar en Internet" es mínimo ya que vivo en un país que está restringido a esta (el 70% de la población no tienen Internet) y las que lo tienen pues lo tienen en sus trabajos claramente bajo la supervisión de Administradores de Redes, es decir que no se puede husmear mucho o te deshabilitan la cuenta... ¿Qué sucede?, pues digamos que este es el foro supuestamente http://www.xxxxxxxx.com/foros/ - pero por suerte tiene al descubierto su PhpMyAdmin en el sitio http://www.xxxxxxxxxx.com/phpmyadminLo que estuve pensando fue, que si consigo entrar en el PhpMyAdmin su BD (Base de Datos), podría acceder a todas las "user&pass" entre estas la de mi victima, luego sacar la contraseña con alguna vía y por supuesto descifrar el hash... Esto es lo que necesito saber y que me expliquen, si existe algún "código" para sacar datos remotamente de la BD, sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?... Espero que puedan ayudarme e instruirme!!!... Disculpen mi poca falta de conocimiento. Salu2s y gracias de antemano! Atentamente Rankor |
|
|
|
« Última modificación: 26 Mayo 2011, 17:12 por el-brujo »
|
En línea
|
- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe - |
|
|
|
|
tragantras
Desconectado
Mensajes: 466
|
la web está offline / caida :/
PD: cubano? xD
|
|
|
|
|
En línea
|
|
|
|
_Rankor_
Desconectado
Mensajes: 17
!!!Abajo las restricciones!!!
|
Hola, gracias por la sugerencia de editar el post, de hecho la URL que había puesto antes no existe fue solo por ejemplificar, y sí chaval Cubano 100%... por lo visto nadie se ha tomado la molestia en hacer un aporte a mi causa de aprendizaje  . |
|
|
|
|
En línea
|
- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe - |
|
|
Erfiug
Desconectado
Mensajes: 44
|
sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?...
Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto 
|
|
|
|
|
En línea
|
|
|
|
_Rankor_
Desconectado
Mensajes: 17
!!!Abajo las restricciones!!!
|
Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto Oh, gracias por la sugerencia, aunque no es por falta de tiempo sino por falta de "Internet" observa mi perfil, soy cubano, te recuerdo que el 90% de la población cubana no posee en su poder Internet, pues nos restringen al 95% y por X vías siempre tenemos que evadir las restricciones... Como ya te puedes dar cuenta, Sí tengo que (dedicarme a esto) pues no veo la hora en que yo como ciberusuario tenga acceso pleno a Internet, al menos tener un email propio que de hecho no lo tengo, las personas que poseen internet son velados por los AdminRed como perros en la calle, si das en paso en falso, Opps! te jodiste chaval. Sabes como estoy navegando ahora!!!, pues te digo, con una cuenta "prestada" espero que entiendas lo que te quiero decir, dicha cuenta, no puedo utilizar mucho para ciertos fines, te recuerdo soy Monitoreado, además mi ancho de banda es de solo 6KB *si no te asombres 6 kylobytes... PD> Creo que me fui del tema original, pero solo es para hacerte entender a tí y a muchos que están en tasita de oro, yo estoy en tasa de fango *sabes que es fango, a lo mejor ni sabes que es eso... Moderadores, si toman este post como SPAM sencillamente cierrenlo. -Repito, se agradece la ayuda a quien brinde conocimientos. Atentamente: Rankor
|
|
|
|
|
En línea
|
- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe - |
|
|
tragantras
Desconectado
Mensajes: 466
|
vamos a ver, para estos menesteres se necesita una gran inversión de tiempo, no porque lo digamos nosotros, sino porque es así, hay que aprender muchismas cosas, y cuando las sepas todas, aún te faltarán!
Que te solucionemos ahora la papeleta y consigas la cuenta del admin del foro no va a cambiar nada, en 3 dias se te ocurrirá otra cosa, y no sabrás hacerla por tí mismo, volverás y te diremos lo mismo
Tienes que aprender tú, no necesitas internet constante para aprender, dedicate a recopilar toda la información que puedas mientras estés online, bájatela a un pendrive o sucedáneos y la lees offline
PD: como coño quieres que te ayudemos si la web en su día estaba caida, y ahora (que me parece bien) se han borrado los links
|
|
|
|
|
En línea
|
|
|
|
druppy
Desconectado
Mensajes: 4
|
Si quieres obtener una contraseña mediante XSS primero tienes que encontrar una vulnerabilidad XSS. La gracia de esto es que puedas inyectar código html.. Luego que la encontraste puedes hacer un phishing, esto es que por ejemplo tienes la web: www.ejemplo.com/login.phpDonde obviamente los usuarios ponen sus datos para ingresar. Puedes encontrar XSS en cualquier otro lado de la web, por ejemplo: www.ejemplo.com/site/modules/buscar.asp?input=<inyeccion> Teniendo la vulnerabilidad, tienes que entrar a ver hasta qué punto es vulnerable, y luego puedes hacer phishing o robar cookies. Puedes inyectar algo que simule el login original de la página, pero que te envíe los datos de ingreso a tu correo por dar un ejemplo, y mandarle la url de tu página falsa a la víctima. Al ver que es una página dentro del sitio, se supone que debería picar el gancho. http://es.wikipedia.org/wiki/Cross-site_scriptingBueno eso es más menos la idea, es un trabajo de chinos y no te lo recomiendo, no está mal aprender y encontrar una XSS pero de ahí a empezar a robar cookies ya estarías alejándote un poco del sentido del asunto.. y si quieres aprender puedes tu mismo montar tu página y hacer una vulnerabilidad XSS, hacer los scripts, etc. Puedes usar xamp para esto.. en fin son muchas cosas no es algo que hagas de un día para otro y menos si el objetivo es "sacar el password de alguien" y menos aún si nunca lo has hecho antes. De hecho si realmente quieres hacer algo hay otros métodos, es cosa de ingeniárselas, por darte algunas ideas busca sus datos, colócalos en los buscadores y ve si está registrado en otros sitios, busca otras vulnerabilidades más accesibles en esos sitios, encuentra los datos de la persona y con suerte usará la misma contraseña para todo, de ahí tu verás. Pero bueno no se si me entendiste, es algo que requiere aprender muchas cosas no existe un "tutorial" y con ingenio se pueden hacer cosas mejores, de hecho si conoces a la persona pues vas a su casa y sacas las pass de su PC, mucho más simple.. lol. |
|
|
|
|
En línea
|
|
|
|
|
|
.:UND3R:.
Desconectado
Mensajes: 1.960
Ingeniería inversa
|
No importa que estés tan limitado a poder utilizar internet, tan solo cuando tengas la posibilidad estudia manuales demasiados y cuando tengas proximas posibilidades de usar internet aplica lo estudiado, pero de que hay que leer hay que hacer
Saludos
|
|
|
|
|
En línea
|
|
|
|
|
 |
