elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Sigue las noticias más importantes de seguridad informática en el Twitter! de elhacker.NET


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  [MOD] Acceso foro mediante XSS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: [MOD] Acceso foro mediante XSS  (Leído 6,686 veces)
R33B0T

Desconectado Desconectado

Mensajes: 57


!!!Abajo las restricciones!!!


Ver Perfil
[MOD] Acceso foro mediante XSS
« en: 4 Mayo 2011, 00:33 am »

Hola comunidad... ante todo acudo a ustedes usuarios de mayor experiencia y conocimientos, pues necesito su ayuda...
Ya que mis conocimientos no son los suficientes para "esto que deseo hacer":

El caso es que deseo adquirir la contraseña de un usuario en cierto foro (Plataforma PHPBB 3.0.8), pues he leído sobre variadas formas como los ataques de BruteForce a PHPbb, los Dictionary Attack, etc, etc pero estos no puedo hacerlos ya que cuento con una velocidad de conexión mínima para serles franco solo navego a 6.5kb (no se sorprendan) sostenido, imagínense...

He observado como se mencionan las técnicas de los XSS para engañar a los usuarios, y me parecen bien interesante lástima que cuento con poco conocimiento sobre ello, además de que tengo poco tiempo para estudiar, pues no soy informático y el chance que tengo de "navegar en Internet" es mínimo ya que vivo en un país que está restringido a esta (el 70% de la población no tienen Internet) y las que lo tienen pues lo tienen en sus trabajos claramente bajo la supervisión de Administradores de Redes, es decir que no se puede husmear mucho o te deshabilitan la cuenta...

¿Qué sucede?, pues digamos que este es el foro supuestamente http://www.xxxxxxxx.com/foros/
 - pero por suerte tiene al descubierto su PhpMyAdmin en el sitio http://www.xxxxxxxxxx.com/phpmyadmin

Lo que estuve pensando fue, que si consigo entrar en el PhpMyAdmin su BD (Base de Datos), podría acceder a todas las "user&pass" entre estas la de mi victima, luego sacar la contraseña con alguna vía y por supuesto descifrar el hash...
Esto es lo que necesito saber y que me expliquen, si existe algún "código" para sacar datos remotamente de la BD, sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?...

Espero que puedan ayudarme e instruirme!!!...
Disculpen mi poca falta de conocimiento.
Salu2s y gracias de antemano!
Atentamente Rankor
« Última modificación: 26 Mayo 2011, 17:12 pm por el-brujo » En línea

- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe -
Uruguayo Alpha

Desconectado Desconectado

Mensajes: 6


Lammer Profesional.


Ver Perfil
Re: Ayuda por favor...
« Respuesta #1 en: 4 Mayo 2011, 02:54 am »

Hola, edita tu mensaje cambiandolo los sitios por: www.ejemplo/foro/Phpmyadmin
En elhacker.net esta prohibido poner los sitios..

Saludetes  :D >:( ::) :-( ;D :huh: :-* :-X :rolleyes: :( :o :) :P :-\ ;) :-[ >:D :¬¬ :xD :laugh: ;-) :silbar:
En línea

tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Ayuda por favor...
« Respuesta #2 en: 4 Mayo 2011, 15:28 pm »

la web está offline / caida  :/

PD: cubano? xD
En línea

Colaboraciones:
1 2
R33B0T

Desconectado Desconectado

Mensajes: 57


!!!Abajo las restricciones!!!


Ver Perfil
Re: Ayuda por favor...
« Respuesta #3 en: 20 Mayo 2011, 23:24 pm »

Hola, gracias por la sugerencia de editar el post, de hecho la URL que había puesto antes no existe fue solo por ejemplificar, y sí chaval Cubano 100%... por lo visto nadie se ha tomado la molestia en hacer un aporte a mi causa de aprendizaje :-( .
En línea

- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe -
Erfiug

Desconectado Desconectado

Mensajes: 44



Ver Perfil
Re: Ayuda por favor...
« Respuesta #4 en: 24 Mayo 2011, 18:45 pm »

sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?...
Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto ;)
En línea

R33B0T

Desconectado Desconectado

Mensajes: 57


!!!Abajo las restricciones!!!


Ver Perfil
Re: Ayuda por favor...
« Respuesta #5 en: 26 Mayo 2011, 15:58 pm »

Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto ;)

Oh, gracias por la sugerencia, aunque no es por falta de tiempo sino por falta de "Internet" observa mi perfil, soy cubano, te recuerdo que el 90% de la población cubana no posee en su poder Internet, pues nos restringen al 95% y por X vías siempre tenemos que evadir las restricciones...
Como ya te puedes dar cuenta, Sí tengo que (dedicarme a esto) pues no veo la hora en que yo como ciberusuario tenga acceso pleno a Internet, al menos tener un email propio que de hecho no lo tengo, las personas que poseen internet son velados por los AdminRed como perros en la calle, si das en paso en falso, Opps! te jodiste chaval.
Sabes como estoy navegando ahora!!!, pues te digo, con una cuenta "prestada" espero que entiendas lo que te quiero decir, dicha cuenta, no puedo utilizar mucho para ciertos fines, te recuerdo soy Monitoreado, además mi ancho de banda es de solo 6KB *si no te asombres 6 kylobytes...

PD> Creo que me fui del tema original, pero solo es para hacerte entender a tí y a muchos que están en tasita de oro, yo estoy en tasa de fango *sabes que es fango, a lo mejor ni sabes que es eso... Moderadores, si toman este post como SPAM sencillamente cierrenlo.

-Repito, se agradece la ayuda a quien brinde conocimientos.

Atentamente: Rankor
En línea

- El inteligente no es aquel que lo sabe todo, sino aquel que sabe utilizar lo poco que sabe -
tragantras


Desconectado Desconectado

Mensajes: 465


Ver Perfil
Re: Ayuda por favor...
« Respuesta #6 en: 26 Mayo 2011, 16:29 pm »

vamos a ver, para estos menesteres se necesita una gran inversión de tiempo, no porque lo digamos nosotros, sino porque es así, hay que aprender muchismas cosas, y cuando las sepas todas, aún te faltarán!
Que te solucionemos ahora la papeleta y consigas la cuenta del admin del foro no va a cambiar nada, en 3 dias se te ocurrirá otra cosa, y no sabrás hacerla por tí mismo, volverás y te diremos lo mismo

Tienes que aprender tú, no necesitas internet constante para aprender, dedicate a recopilar toda la información que puedas mientras estés online, bájatela a un pendrive o sucedáneos y la lees offline

PD: como coño quieres que te ayudemos si la web en su día estaba caida, y ahora (que me parece bien) se han borrado los links
En línea

Colaboraciones:
1 2
druppy

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: [MOD] Acceso foro mediante XSS
« Respuesta #7 en: 4 Junio 2011, 01:03 am »

Si quieres obtener una contraseña mediante XSS primero tienes que encontrar una vulnerabilidad XSS. La gracia de esto es que puedas inyectar código html..

Luego que la encontraste puedes hacer un phishing, esto es que por ejemplo tienes la web:

www.ejemplo.com/login.php

Donde obviamente los usuarios ponen sus datos para ingresar.

Puedes encontrar XSS en cualquier otro lado de la web, por ejemplo:

www.ejemplo.com/site/modules/buscar.asp?input=<inyeccion>

Teniendo la vulnerabilidad, tienes que entrar a ver hasta qué punto es vulnerable, y luego puedes hacer phishing o robar cookies. Puedes inyectar algo que simule el login original de la página, pero que te envíe los datos de ingreso a tu correo por dar un ejemplo, y mandarle la url de tu página falsa a la víctima. Al ver que es una página dentro del sitio, se supone que debería picar el gancho.

http://es.wikipedia.org/wiki/Cross-site_scripting

Bueno eso es más menos la idea, es un trabajo de chinos y no te lo recomiendo, no está mal aprender y encontrar una XSS pero de ahí a empezar a robar cookies ya estarías alejándote un poco del sentido del asunto.. y si quieres aprender puedes tu mismo montar tu página y hacer una vulnerabilidad XSS, hacer los scripts, etc. Puedes usar xamp para esto.. en fin son muchas cosas no es algo que hagas de un día para otro y menos si el objetivo es "sacar el password de alguien" y menos aún si nunca lo has hecho antes. De hecho si realmente quieres hacer algo hay otros métodos, es cosa de ingeniárselas, por darte algunas ideas busca sus datos, colócalos en los buscadores y ve si está registrado en otros sitios, busca otras vulnerabilidades más accesibles en esos sitios, encuentra los datos de la persona y con suerte usará la misma contraseña para todo, de ahí tu verás. Pero bueno no se si me entendiste, es algo que requiere aprender muchas cosas no existe un "tutorial" y con ingenio se pueden hacer cosas mejores, de hecho si conoces a la persona pues vas a su casa y sacas las pass de su PC, mucho más simple.. lol.
En línea

WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: [MOD] Acceso foro mediante XSS
« Respuesta #8 en: 15 Junio 2011, 08:32 am »

Yo pienso que lo primero que debes saber es que rayos es un xss, date una vuelta por el post de tutoriales básicos, te ayudarán bastante:

http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_31510-t244090.0.html

http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html
En línea

.:UND3R:.
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.118


Ingeniería inversa / MASM


Ver Perfil WWW
Re: [MOD] Acceso foro mediante XSS
« Respuesta #9 en: 16 Junio 2011, 20:27 pm »

No importa que estés tan limitado a poder utilizar internet, tan solo cuando tengas la posibilidad estudia manuales demasiados y cuando tengas proximas posibilidades de usar internet aplica lo estudiado, pero de que hay que leer hay que hacer

Saludos
En línea


Solicitudes de crack, keygen, serial solo a través de mensajes privados (PM)
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Acceso remoto mediante wifi
Hacking
La Muertع Blancα 7 7,333 Último mensaje 21 Mayo 2010, 22:30 pm
por Søra
Acceso a chat java mediante mIRC e IRcap.
Mensajería
Palmbitch 0 2,109 Último mensaje 28 Agosto 2013, 10:24 am
por Palmbitch
Como acceso a una maquina especifica mediante RADMIN?
Redes
pindonga123 5 2,571 Último mensaje 15 Marzo 2014, 04:02 am
por Zomkar
[SOLUCIONADO] Duda con acceso a UART mediante ensamblador.
ASM
SARGE553413 6 4,900 Último mensaje 3 Abril 2015, 20:54 pm
por xv0
Acceso y visualizacion de datos mediante PhP
PHP
Locuust 1 1,347 Último mensaje 13 Enero 2016, 02:41 am
por LuffyFF
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines