elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: ¿Eres nuevo? ¿Tienes dudas acerca del funcionamiento de la comunidad? Lee las Reglas Generales


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  parametros "x" y "y" en envio POST
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: parametros "x" y "y" en envio POST  (Leído 5,288 veces)
wizache

Desconectado Desconectado

Mensajes: 143


El que poco sabe poco vive


Ver Perfil WWW
parametros "x" y "y" en envio POST
« en: 20 Abril 2007, 21:21 »

Hola que tal,,
haber si alguien me podría ayudar, hay una apgian que ahce mucho vulnere por medio de sql injection, hasta la fecah sigue siendo vulnerable, pero para practivar un poco me dieron ganas de entrar por medio de netcat y con el ethreal, pero al parecer tiene una proteccion que tiene que ver con unos parametros que se envia por el formualrio, estos son "x"  y "y" y se envian cuando pones el el formulario algun input de tipo hidden, el problema es que si cambio un dato en lo que envio por netcat del POST, ya no acepta la entrada de formulario y me he dado cuenta que tiene que ver con los datos de "x" y "y" que aparte son aleatorios, quiza algunos ya habrán visto este tipo de paramentros, Que significan, para que sirven, como podriia yo calcular los valores que debe dar
¡¡en pocas palabras que me saben de estos paramentros?, si nunca los han notado prueben poner un input de tipo hidden (<input type="hidden">hola mundo</input>)y vean que recibe la pagina del action del formulario, veran que son un valor "x" y uno "y"

SAludos ;D
En línea

yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: parametros "x" y "y" en envio POST
« Respuesta #1 en: 20 Abril 2007, 22:12 »

No lo entendí muy bien pero bueno...

cuando pones el el formulario algun input de tipo hidden, ahí estás diciendo que estás construyendo un formulario y los campos que son de tipo text por ejemplo, los has puesto hidden, supongo que para que no se visualicen. Aclarame eso porque por ahí también dices que la conexión la realizas vía netcat.

Respecto a lo de los valores 'x' e 'y', puedo decirte cual es su proceso de formación usual, pero esto no quiere decir que lo puedas aplicar a este caso, ya que solo se lo que tú me has contado.

Estas dos variables se generan dentro del servidor, por lo tanto, para que se 'creen' primero has de realizar una consulta a la página del formulario, una vez 'creadas' ya pueden ser enviadas  y realizar sentencias de condición. Claro ejemplo de los códigos de confirmación que aparecen en imagenes para evitar abusos del servicio.
En línea

wizache

Desconectado Desconectado

Mensajes: 143


El que poco sabe poco vive


Ver Perfil WWW
Re: parametros "x" y "y" en envio POST
« Respuesta #2 en: 20 Abril 2007, 22:28 »

creo que mi explciacion si estuvo mal redactada los siento
La idea es esta yo puedo entrar al formulario de forma relativamente sencialla desde el mismo formulario del sitio, pero se me ocurrio ¿Como le haría si quisiera utilizar el netcat para entrar?(esto con el unico fin de practicar con netcat), para esto estoy usando un metodo que lei en un manual de sql injection en el que con ethereal veia lo que se enviaba alhacer una cosulta, a continuacion con el netcat me conectaba y enviaba eso mismo que se envio y lei con ethreal, y de hay solo cambiaba los datos del get, si envio la misma consulta que lei exactamente no hay ningun problema, pero si para hacer algun tipo de inyeccion cambio los datos que se envian por medio del post, ya no entra, yo supose que quiza tenia que ver con los paramentros "x" y "y", ya que cuando lo hago via el formulario web, si con un addon que tengo de firefox que me permite cambiar los datos enviados por post y get cambio el valor de 'x' y 'y' por cualquir dato, ya no entra la consulta entocnes pienso que debe ser una proteccion que tiene que ver con eso. Solo es una suposicion de hay la pregunta
saludos y gracias ;D
En línea

yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: parametros "x" y "y" en envio POST
« Respuesta #3 en: 20 Abril 2007, 22:42 »

Entendido, entonces centrate en esta explicación que te hice:

Citar
Estas dos variables se generan dentro del servidor, por lo tanto, para que se 'creen' primero has de realizar una consulta a la página del formulario, una vez 'creadas' ya pueden ser enviadas  y realizar sentencias de condición. Claro ejemplo de los códigos de confirmación que aparecen en imagenes para evitar abusos del servicio.

Conclusión... si modificamos el valor de estas variables nos va a dar error, por eso si haces una conexión vía netcat directa sin asignar valores a  'x' e 'y', nos volverá a dar error.
Tendras que realizar primero una consulta a la página del formulario (no al action) y recoger los valores de estas dos variables para incluirlas en la próxima consulta mediante netcat.

Si nos dices qué valor tienen esas dos variables quizás podamos ayudarte algo más.
En línea

wizache

Desconectado Desconectado

Mensajes: 143


El que poco sabe poco vive


Ver Perfil WWW
Re: parametros "x" y "y" en envio POST
« Respuesta #4 en: 21 Abril 2007, 19:42 »

ok ya entendi gracias, otra pregunta entonces como le podría hacer para hacer un script que por ejemplo ataque un sitio que tenga esto tipo de parametros, para descubrir la contraseña por medio de fuerza bruta??

¿existirá alguna solución?
En línea

yeikos


Desconectado Desconectado

Mensajes: 1.424



Ver Perfil
Re: parametros "x" y "y" en envio POST
« Respuesta #5 en: 21 Abril 2007, 21:15 »

Es díficil que encuentres un programa con estas características.

Si sabes programación no tendrás problemas, en caso contrario lo tienes difícil, aún así te dejo una estructura clara del programa.

Citar
Consulta al formulario para sacar los valores de 'x' e 'y'.
Brute forcing a la variable 'z', acompañado de los valores de 'x' e 'y'
Consulta al formulario para sacar los valores de 'x' e 'y'.
Brute forcing a la variable 'z', acompañado de los valores de 'x' e 'y'
...
En línea

lord mick

Desconectado Desconectado

Mensajes: 6


Ver Perfil
Re: parametros "x" y "y" en envio POST
« Respuesta #6 en: 9 Agosto 2010, 04:13 »

se que este post es re viejoooo pero espero alguien me responda, necesito mas información acerca de estos parametros y de como obtenerlos, estoy trabajando en java y necesito hacer un POST a una pagina pero entre los paramentros hay 2 Enviar.x y Enviar.y que cambian de POST a POST y parecen ser aleatorios y tal como se dijo aqui parecieran ser generados por el servidor.. pero como los obtengo? donde vienen? por favor ayudenme que estoy muy perdido.


pd: Estoy trabajando con las clases de java httpUrlConnection para realizar el post
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines