Explicación:
Pues después de pruebas por aquí y por allá, de intentar entender el código de smf, de probar más por aquí y por allá... Me he acordado de la prueba de sdc para poder formar parte del proyecto SimpleAudit, y he cogido el string "raro" y lo he ido reduciendo (por comodidad) hasta la forma más pequeña en que funciona www.a((((((((((((((.
No me he mirado bastante el código como para entender porqué sucede lo que sudece, pero resulta que al meterlo dentro de algunos tags, el parser de bcc se vuelve loco y en lugar de poner carácteres se carga 3. Lo que significa que si hacemos:
En lugar de devolver:
Pasa esto:
Y al no cerrarse las comillas dobles se descujeringa todo el foro. Y con esto he estado haciendo pruebas en mi perfil esta tarde...xD (me lo he pasado bomba). Después de la diversión me he puesto a tratar de sacar un XSS de allí, así que he andado probando con algunos vectores de navegadores antiguos... Algo así:
Y aunque no me filtrará el epresionje (que lo hacía), no podía ver si resultaba porque con FF no tira. Así que he buscado un rato otros vectores desde style, y nada. Así que me he puesto a intentar meterle un evento a esas comillas dobles ya abiertas, pero primero tenía que cerrarlas... Y básicamente he andado probando y mezclando (que me ha costado lo suyo...:S), hasta que he encontrado las combinaciones buenas:
(es indiferente usar ftp, http...)
Y me ha salido un bonito XSS... Ahora falta pensar como hacerlo para ejecutarlo de la manera más fácil posible, y ver si es compatibile con otros navegadores. Que no tengo ni idea...
No sé si esa es la explicación que esperabáis...xD Pero no sé que más contar...
Saludos!
Pues después de pruebas por aquí y por allá, de intentar entender el código de smf, de probar más por aquí y por allá... Me he acordado de la prueba de sdc para poder formar parte del proyecto SimpleAudit, y he cogido el string "raro" y lo he ido reduciendo (por comodidad) hasta la forma más pequeña en que funciona www.a((((((((((((((.
No me he mirado bastante el código como para entender porqué sucede lo que sudece, pero resulta que al meterlo dentro de algunos tags, el parser de bcc se vuelve loco y en lugar de poner carácteres se carga 3. Lo que significa que si hacemos:
Código:
[u]www.a((((((((((((((([/u]
En lugar de devolver:
Código:
<span style="text-decoration: underline;">Cadena</span>
Pasa esto:
Código:
<span style="text-decoration: underline</span>
Y al no cerrarse las comillas dobles se descujeringa todo el foro. Y con esto he estado haciendo pruebas en mi perfil esta tarde...xD (me lo he pasado bomba). Después de la diversión me he puesto a tratar de sacar un XSS de allí, así que he andado probando con algunos vectores de navegadores antiguos... Algo así:
Código:
[u]www.a((((((((((((((([/u] ;xss:epresionje(alert(5))[u][/u]
Y aunque no me filtrará el epresionje (que lo hacía), no podía ver si resultaba porque con FF no tira. Así que he buscado un rato otros vectores desde style, y nada. Así que me he puesto a intentar meterle un evento a esas comillas dobles ya abiertas, pero primero tenía que cerrarlas... Y básicamente he andado probando y mezclando (que me ha costado lo suyo...:S), hasta que he encontrado las combinaciones buenas:
Código:
[quote]www.a((((((((((((((([/quote][url==a onEvent=alert() tr=][/url]
Y me ha salido un bonito XSS... Ahora falta pensar como hacerlo para ejecutarlo de la manera más fácil posible, y ver si es compatibile con otros navegadores. Que no tengo ni idea...
No sé si esa es la explicación que esperabáis...xD Pero no sé que más contar...
Saludos!
NOSCRIPT!!!