elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Programación
| |-+  Desarrollo Web
| | |-+  PHP (Moderador: #!drvy)
| | | |-+  Ingresar información de un formulario manualmente
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Ingresar información de un formulario manualmente  (Leído 2,036 veces)
papafr0ta

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Ingresar información de un formulario manualmente
« en: 23 Mayo 2011, 17:34 pm »

        Encontré un formulario en una página en donde se pide un nombre de usuario y una contraseña para acceder al panel de administración. Cuando coloco un usuario cualquiera y una contraseña cualquiera (o en blanco), me muestra el siguiente error:

Citar
No existe el usuario introducido

        Cuando coloco como usuario "admin" y una contraseña cualquiera, recibo el siguiente error:

Citar
Password incorrecto!

        Dada las circunstancias, me he dado cuenta de que me han confirmado de que el usuario "admin" existe y que solo necesito la contraseña para ingresar. Puedo realizar intentos ilimitados sin que el sistema me bloquee, por lo que había pensado en un ataque por fuerza bruta o con diccionario.
        Mi dilema es que al ingresar el usuario y contraseña de forma manual (http://www.sitio.com/intranet/comprobar.php?user=admin&pass=cualquiera), me responde como si el usuario no existiera. El código en donde se encuentra el formulario está a continuación.

Código:
<p>Ingrese sus datos<br />
<form name="form1" method="post" action="comprobar.php">
<table border=0>
      <tr>

               <td>Usuario:</td>
               <td><input type="text" name="user"></td>
      </tr>
      <tr>
               <td>Contraseña:</td>
               <td><input type="text" name="pass"></td>
      </tr>
      <tr>

               <td><br></td>
      </tr>
</table>
    <input type="submit" name="Submit" value="Enviar">


        Gracias por cualquier idea o sugerencia que me puedan entregar.


En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: Ingresar información de un formulario manualmente
« Respuesta #1 en: 23 Mayo 2011, 18:34 pm »

Obvio, porque lo que estáis haciendo es una petición GET y lo que necesitas es POST!


En línea

Te vendería mi talento por poder dormir tranquilo.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.605


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Ingresar información de un formulario manualmente
« Respuesta #2 en: 23 Mayo 2011, 19:22 pm »

antes de crackear un formulario de acceso debes saber un poco sobre el protocolo HTTP, o instala live headers en firefox y ponte a ver como viajan los paquetes cuando navegas y envías formularios.

Como dice shellroot una cosa es pasar las variables en la url y otra cosa es pasar las variables via post, otra cosa es pasarlos cifrados con multipart data, otra cosa es hacer un trace, otra cosa es evitar los tokens y hacer csrf para crackear como en cpanel, otra cosa es capturar cookies, enviar sesiones, interpretar headers, etc etc etc.

Si lo único que quieres es hacer click en algo y que te haga todo solo busca el hydra o brutus o brainscann, de otra manera tendrás que usar un bat + wget o bat + netcat o algún proyecto en algún lenguaje como php, perl, vb, c++, etc etc.

Yo en lo personal una sola ves tube que hacer eso para pasar un game en el warzone y lo hize con sockets en visual b.
« Última modificación: 23 Mayo 2011, 19:27 pm por WHK » En línea

papafr0ta

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Ingresar información de un formulario manualmente
« Respuesta #3 en: 24 Mayo 2011, 06:39 am »

Muchas gracias por sus respuestas.

Ya me he dado cuenta de mi error y ya estoy trabajando en ello.
Mi intención de este proyecto es doble. Programar un script que me haga un ataque por diccionario en Perl y a la vez usarlo, ya que nunca he tenido la experiencia. Tomaré nota de los conceptos que mencionas para futuros encuentros con formularios de ingreso (multipart data, trace, tokens y csrf).

Hasta la próxima.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines