elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Hack my site
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 [3] 4 Ir Abajo Respuesta Imprimir
Autor Tema: Hack my site  (Leído 14,802 veces)
cgvwzq

Desconectado Desconectado

Mensajes: 57


Agente P.


Ver Perfil WWW
Re: Hack my site
« Respuesta #20 en: 18 Agosto 2010, 22:38 pm »

Pufff... Esta hecha un cristo... xD

Solo he ojeado, pero a parte de los tropocientos XSS y CSRF. Hay varias Blind SQLi... Ciertamente no creo que haya ni un solo input vigilado, y además parece que hay algún problema en el control de permisos para poner mensajes en los tablones.

No he explotado los sqli, pero de entrada el usuario corre con más privilegios de los que debería.

Y no documento nada porque me huele a que ese debería ser tu trabajo! ¬¬
En línea

Some stuff:

  • www.a] parsed as ]www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ


bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Hack my site
« Respuesta #21 en: 18 Agosto 2010, 23:58 pm »

Citar
Powered by PHP Login Script v2.0

hay que registrarse o atacar ese script?
En línea

SH4V

Desconectado Desconectado

Mensajes: 39



Ver Perfil WWW
Re: Hack my site
« Respuesta #22 en: 19 Agosto 2010, 01:39 am »

Pufff, muchísimos XSS, algunos persistentes. También hay XSRF y usurpación de identidad. Por cierto, en cuanto a lo del XSS una falla de bajo nivel... ja! [modeIronic=ON]tan poco potente como javascript, VBScript, ActionScript, etc...[modeIronic=OFF]

Saludos!
En línea

Citar
javascript:đ=+!!{};(this)[ł={ŋ:''+!'[]',ŧ:''+!!đ},ł.ŋ[đ]+ł.ŋ[đ+đ]+ł.ŋ[++đ+đ]+ł.ŧ[--đ]+ł.ŧ[+!đ]](đ)
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Hack my site
« Respuesta #23 en: 19 Agosto 2010, 03:21 am »

192.168.249.1

 ;D


192.168.1.36
« Última modificación: 19 Agosto 2010, 03:42 am por averno » En línea

"La envidia es una declaración de inferioridad"
Napoleón.
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Hack my site
« Respuesta #24 en: 19 Agosto 2010, 03:55 am »

Haha,

buena, a tiempo lo ha cortado :P

En línea

"La envidia es una declaración de inferioridad"
Napoleón.
jdc


Desconectado Desconectado

Mensajes: 3.406


Ver Perfil WWW
Re: Hack my site
« Respuesta #25 en: 19 Agosto 2010, 06:12 am »

xss por donde sea... Por alguna extraña razon me muestra un error de SQL cuando escribo un inocente comentario del tipo:

Código:
Holi'--

no se porque xDDDDD

Tienes XSS hasta en los XSS. Le pusiste algo de Seguridad? Si aun no esta listo por favor avisanos cuando lo este ¬¬

Y personaliza tus errores...


Error 404
Código:
¡Objeto no encontrado!

El enlace requerido no ha sido localizado en este servidor. Si usted proporcionó el enlace de manera manual le solicitamos que por favor revise los datos e intentelo de nuevo.

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 404
80.34.108.239
Thu 19 Aug 2010 06:10:08 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403
Código:
¡Acceso prohibido!

Usted no tiene permiso para acceder a la dirección solicitada. Existe la posibilidad de que el directorio este protegido contra lectura o que no exista la documentación requerida.

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 403
80.34.108.239
Thu 19 Aug 2010 06:10:59 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403 2.0 xD
Código:
Acceso prohibido!


XAMPP nuevo concepto de seguridad:

El acceso a la solicitada directorio sólo está disponible desde la red local.

Este ajuste puede ser configurado en el archivo "httpd-xampp.conf".


Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 403
80.34.108.239
Thu 19 Aug 2010 06:11:22 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

En este ultimo te dice como hacerlo ;)
En línea

toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Hack my site
« Respuesta #26 en: 19 Agosto 2010, 13:17 pm »

Pues

Citar
Error **: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1


 :¬¬


No es cuestion de poner mas porque ayer en pleno ataque, me cortaron las alas en cuanto estaba posteando :D

En línea

"La envidia es una declaración de inferioridad"
Napoleón.
toxeek
The "Tricky" ..
Colaborador
***
Desconectado Desconectado

Mensajes: 1.636


Ver Perfil
Re: Hack my site
« Respuesta #27 en: 19 Agosto 2010, 19:15 pm »

En el titulo de los mensajes o en el body (una vez te haces una cuenta) se puede poner esto a base de XSS:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>


Ademas, puedes *** la cuenta a otras personas pues interceptando con un Proxy local la peticion esta y cambiando el argumento "argv2="tu_nick" por la de otro nick. Algo lame seria poner lo mismo o un
<ScRiPt> while(1)alert("You are adviced!");</ScRiPt>


Saludos que sigo echando la siesta (hehe, hoy han caido 4 horazas de siesta, viva la vida Española !)


Ah, y modificando el innerHTML no haras deface a la page, solo cuando loguees en tu cuenta, por eso lo mejor seria hacerselo tambien a otro miembro pues interceptando con el proxy y cambiando el msg por lo que se expone..



/* MOD */

Es bien facil hacerselo a un "friend" y que no te ocurra  ti, el defacearle la cuenta a otro "friend" digo.
Interceptais con un Proxy la peticion para poner un mensaje en vuestro propia cuenta. En el momento de mandar, el Proxy intercepta. Ahi, a lo primero se cambia en la requesta:
GET http://80.34.108.239/hackw20/application/services/profile/profile.php?arg2=otronick

En el Referer tambien cambiad vuestro nick por el del otro por si las moscas (por cada peticion) y en el javascript de redireccion que se nos muestra en una de las respuestas dejad solo la variable arg2 con el otro nick. Asi defaceais la otra cuenta y no la vuestra.

Por supuesto desde el principio lo que se tiene que hacer es desde la cuenta propia, ir como a postear un mensaje. En el cuerpo del mensaje iria por ejemplo:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>

y ya despues pues lo que he comentado interceptando con el proxy.


Ah al user "tesean" le defacee la cuenta asi, como todo esto es un test gratuito y no tiene mucha relevancia no me he preocupado claro. Lo mismo para el user "pimpim", que imagino que sera lo mismo.
« Última modificación: 19 Agosto 2010, 20:07 pm por averno » En línea

"La envidia es una declaración de inferioridad"
Napoleón.
bizco


Desconectado Desconectado

Mensajes: 698


Ver Perfil
Re: Hack my site
« Respuesta #28 en: 19 Agosto 2010, 20:28 pm »

yo creo que nos estan usando para testear su script, ponerle mas funciones y quien sabe el futuro.
En línea

cgvwzq

Desconectado Desconectado

Mensajes: 57


Agente P.


Ver Perfil WWW
Re: Hack my site
« Respuesta #29 en: 19 Agosto 2010, 22:40 pm »

@averno, valiente sin verguenza... xD Tienes suerte de que no vuelva a entrar, sino nos veriamos las caras! ;)
En línea

Some stuff:

  • www.a] parsed as ]www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ


Páginas: 1 2 [3] 4 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
hack_web site
WarZone
1410 4 3,229 Último mensaje 23 Mayo 2015, 01:49 am
por 1410
Captcha, ERROR for site owner: Invalid site key
Java
Beginner Web 0 2,420 Último mensaje 7 Noviembre 2019, 12:23 pm
por Beginner Web
¿Conocen alguna web similar a Hack This Site que me recomienden?
Foro Libre
Aguijon_zerO 2 2,354 Último mensaje 20 Febrero 2020, 05:15 am
por @XSStringManolo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines