elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: 1 2 3 4 5 6 7 [8] 9 10 11 12 13 14 15 Ir Abajo Respuesta Imprimir
Autor Tema: [Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)  (Leído 77,261 veces)
dont'Exist

Desconectado Desconectado

Mensajes: 97


Ver Perfil
Re: Hackea a elhacker.net v2.0
« Respuesta #70 en: 12 Febrero 2012, 06:25 am »

Recién le doy bola a este post...  :P

Para cuando lo consiga hacer, me va a costar explicarlo porque así de duro soy para la pedagogía. Pero una buena "verseada" le pegaré.


 ;D
En línea

Abakus

Desconectado Desconectado

Mensajes: 84



Ver Perfil
Re: Hackea a elhacker.net v2.0
« Respuesta #71 en: 12 Febrero 2012, 19:06 pm »

Hay tres formas de hacer una peticion get y Post hacia un host evadiendo el referer, no dare mas pistas  :P , estan omitiendo un dato super importante

De esas formas, hay alguna en la que no se necesite la cookie?
En línea

    bakus
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Hackea a elhacker.net v2.0
« Respuesta #72 en: 12 Febrero 2012, 22:02 pm »

Es un csrf, no necesitas cookies.

Si doy mas pistas entonces les estaría revelando el bug y no sería merito propio, asi que como podriamos ponerlos en el blog y en el boletin mensual si yo les doy las pistas?
« Última modificación: 12 Febrero 2012, 22:06 pm por WHK » En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Hackea a elhacker.net v2.0
« Respuesta #73 en: 13 Febrero 2012, 14:21 pm »

SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.
En línea

MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Hackea a elhacker.net v2.0
« Respuesta #74 en: 13 Febrero 2012, 15:27 pm »

SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.

Ya que lo has dicho tú WHK,  a mi me extraña mucho que YoYa no lo consiga, si ya tiene el SC que es yo creo lo más difícil y lo que a mi me falta.

Yo he probado el formulario aislado que está en una página de este de este mismo hilo por otro usuario, estando conectado yo  al foro me cambia la firma.

Por lo que enviado un enlace a WHK o poniéndolo como avatar como ha hecho YoYa, con eso debería cambiar la firma.

Eso sí, si pongo la página con el formulario -dentro- de un servidor local o externo no funciona (envía referer y SMF lo detecta), pero si la pongo por ejemplo con un HTML simple, digamos en el escritorio entonces cambia la firma.

Creo que eso es lo que quieres decir.

Con esto al menos YoYa debería tener suficiente.

:D
« Última modificación: 13 Febrero 2012, 15:30 pm por MrPoor » En línea

Mpoor es de super guay
MrPoor

Desconectado Desconectado

Mensajes: 17



Ver Perfil WWW
Re: Hackea a elhacker.net v2.0
« Respuesta #75 en: 13 Febrero 2012, 15:29 pm »

De hecho en mi firma se ven intentos del cambio de firma :D
En línea

Mpoor es de super guay
~ Yoya ~
Wiki

Desconectado Desconectado

Mensajes: 1.125



Ver Perfil
Re: Hackea a elhacker.net v2.0
« Respuesta #76 en: 14 Febrero 2012, 00:59 am »

Hoy recién termine algo que podía ser con una chica jejeje, no porque mañana sea 14 jejejeje.

No he tenido tiempo para poder testear, desde mi ultimo post (11 de febrero). Mañana tratare de dedicarle 1-2h para ver si avanzo un poco xD.

Saludos y suerte a todos.
« Última modificación: 14 Febrero 2012, 01:04 am por ~ Yoya ~ » En línea

Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.
zaphire

Desconectado Desconectado

Mensajes: 12



Ver Perfil
Re: Hackea a elhacker.net v2.0
« Respuesta #77 en: 14 Febrero 2012, 12:40 pm »

PRUEBA
En línea

añlskdfñqwiejfñalksjndvpiqouwenfhñqwjkef
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Hackea a elhacker.net v2.0
« Respuesta #78 en: 14 Febrero 2012, 17:48 pm »

El GatoPollo les manda ánimo! :D

En línea

p0is0n-123

Desconectado Desconectado

Mensajes: 13


Ver Perfil
Re: Hackea a elhacker.net v2.0
« Respuesta #79 en: 14 Febrero 2012, 19:11 pm »


Probando...
« Última modificación: 15 Febrero 2012, 17:48 pm por p0is0n-123 » En línea

Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net
Páginas: 1 2 3 4 5 6 7 [8] 9 10 11 12 13 14 15 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Hackea a Elhacker.net ! [Finalizado - Ganador: yasión] « 1 2 ... 23 24 »
Nivel Web
WHK 238 107,097 Último mensaje 30 Noviembre 2009, 17:30 pm
por sirdarckcat
Bucle finalizado con enter « 1 2 3 »
Programación C/C++
cjordan 25 18,761 Último mensaje 18 Febrero 2012, 18:23 pm
por Akai
Ayuda trial finalizado
Ingeniería Inversa
bebito0077 7 4,934 Último mensaje 3 Octubre 2010, 23:42 pm
por LSL
El estándar USB 3.1 ya ha sido finalizado
Noticias
wolfbcn 0 1,480 Último mensaje 4 Agosto 2013, 01:39 am
por wolfbcn
W3 da por finalizado HTML5
Noticias
dimitrix 0 1,711 Último mensaje 18 Julio 2014, 16:40 pm
por dimitrix
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines