elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
28 Mayo 2012, 05:49  


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  Necesito ayuda con el javascript de un XSS		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Necesito ayuda con el javascript de un XSS  (Leído 3,044 veces)
Skeletron


Desconectado Desconectado

Mensajes: 1.686


A long way to go


Ver Perfil WWW
Necesito ayuda con el javascript de un XSS
« en: 19 Abril 2010, 00:27 »
Hola gente..

En un sitio web logro:

<input class="input" name="email" size="30" maxlength="120" value="xxxxxxxxxxxxx\" onclick='XXX"' type="text">


logro romper el VALUE y crear el ONCLICK por un parametro modificado en el POST, algo asó:
xxxxxxxxxxx"onclick=XXX

las primeras xxxx en minusculas, quedan en VALUE, y se me crea el inclick así como ven... Pero con una " (comilla doble) dentro... que me esta jodiendo mucho... como puedo hacer para ignorarla y ejecutar el javascrip bien?

llego a hacer que quede:
onclick='this.value=1\\"'
Pero tampoco funciona

ALguna recomendacion?
En línea

Miel de Abejas
En Cordoba
Peliculas y Series OnLine sin Plugin para el Browser
isseu


Desconectado Desconectado

Mensajes: 305


°º¤ø,¸¸,El conocimiento es poder°º¤ø,¸¸,ø¤º°`°º¤ø,


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #1 en: 19 Abril 2010, 01:00 »
te tiene que quedar un codigo algo asi
rojo --> injection
<input class="input" name="email" size="30" maxlength="120" value="xxxxxxxxxxxxx\" =alert(String.fromCharCode(88,83,83)); a="" type="text">
la gracia esta en el "a",
En línea
Skeletron


Desconectado Desconectado

Mensajes: 1.686


A long way to go


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #2 en: 19 Abril 2010, 01:21 »
Pero la inyeccion no es tan directa..
Fijate que ingresando:
xxxxxxxxxxx"onclick=XXX

Me agrega las comillas solas y demas...

En fin:
La \\ porque no hace que se ignore la comilla?? se deberia conseiderlo como COMENTARIO en javascript.. o no?
En línea

Miel de Abejas
En Cordoba
Peliculas y Series OnLine sin Plugin para el Browser
Shell Root


Desconectado Desconectado

Mensajes: 2.456


Alex Jurado


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #3 en: 19 Abril 2010, 02:11 »
No entendí. :S
Código:
Input:   " onclick=javascript:alert(/XSS/)>
Output:   <input class="input" name="email" size="30" maxlength="120" value="\" onclick=javascript:alert(/XSS/)>" onclick='XXX"' type="text">




Cita de: Skeletron en 19 Abril 2010, 01:21
La \\ porque no hace que se ignore la comilla?? se deberia conseiderlo como COMENTARIO en javascript.. o no?
Si, pero y...
En línea
---
Skeletron


Desconectado Desconectado

Mensajes: 1.686


A long way to go


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #4 en: 19 Abril 2010, 04:43 »
Pero.. si realmente la \\ hubiese hecho que se ignore la ", hubiese dado el alert(05)
Y no lo dió
En línea

Miel de Abejas
En Cordoba
Peliculas y Series OnLine sin Plugin para el Browser
Shell Root


Desconectado Desconectado

Mensajes: 2.456


Alex Jurado


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #5 en: 19 Abril 2010, 16:20 »
Cita de: Skeletron en 19 Abril 2010, 04:43
Pero.. si realmente la \\ hubiese hecho que se ignore la ", hubiese dado el alert(05)
Y no lo dió


Como que no lanzo el alert(), está dentro del evento onclick
En línea
---
Skeletron


Desconectado Desconectado

Mensajes: 1.686


A long way to go


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #6 en: 20 Abril 2010, 00:34 »
Y le hago click, y no hace el ALERT...
IS MAGIC
En línea

Miel de Abejas
En Cordoba
Peliculas y Series OnLine sin Plugin para el Browser
Shell Root


Desconectado Desconectado

Mensajes: 2.456


Alex Jurado


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #7 en: 20 Abril 2010, 03:36 »
Seguro?, Pwned!
En línea
---
WHK
吴阿卡
Moderador
***
Desconectado Desconectado

Mensajes: 4.113


The Hacktivism is not a crime


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #8 en: 21 Abril 2010, 21:15 »
quiebra el input completo

Citar
"><scripr>loquesea();<script><br x=
En línea
Mi foro Ultra Off-Topics: http://whk.drawcoders.com/foro/

Gracias a todos! Good bye!
Skeletron


Desconectado Desconectado

Mensajes: 1.686


A long way to go


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #9 en: 22 Abril 2010, 00:34 »
Pero gente.
Lo que yo inserto, no se inserta directamente.

Si yo escribo de valor:
xxxxxxxxxxx"onclick=XXX
No quedará:
value="xxxxxxxxxxx"onclick=XXX

Como veran, queda de otra manera (miren el 1º post).
Me agega una barra en el value (que no me molesta) y una comilla de mas en el OnClick
En línea

Miel de Abejas
En Cordoba
Peliculas y Series OnLine sin Plugin para el Browser
Data Seek3r

Desconectado Desconectado

Mensajes: 33



Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #10 en: 22 Abril 2010, 01:22 »
Ya te lo dijo WHK, tiene que funcionar asi.
En línea
sirdarckcat
Troll Buena Onda y
Moderador
***
Desconectado Desconectado

Mensajes: 6.947


Lavando Platos


Ver Perfil WWW
Re: Necesito ayuda con el javascript de un XSS
« Respuesta #11 en: 24 Abril 2010, 18:50 »
agrega // al final,


x" onclick=xxx//
En línea


Leer reglas
- WarZone.elhacker.net
- IRC de elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines