|
Título: [°] [UP] Fallos En Fotolog.com Publicado por: fNiX en 31 Julio 2008, 00:19 am Bueno recuerdo que hace tiempo mire este articulo
y lo concidere muy bueno, el archivo es de remote execution y se encontraba aqui: http://remoteexecution.org/fotolog/ (http://remoteexecution.org/fotolog/) Pero ahora no Funciona, pero yo lo he guardado en HTML por si a alguien le interesa lo puede descargar de aqui: http://rapidshare.com/files/133480287/Fotolog.rar (http://rapidshare.com/files/133480287/Fotolog.rar) Salu2! Título: Re: Fallos En Fotolog.com Publicado por: lipman en 1 Agosto 2008, 19:16 pm Yo diria que ya no funcionan.
El primero de todos ha sido corregido, y ahora cada vez que pones cualquier cosa en el textbox de los links añaden "http", por lo que no puedes ejecutar codigo javascript En el segundo.. simplemente la página http://photo.fotolog.com/email_to_friends no existe xD Saludos Título: Re: Fallos En Fotolog.com Publicado por: Darioxhcx en 1 Agosto 2008, 19:40 pm ya esta parcheado el bug en fotolog al aprecer
mejor asi se dejan de joder con los fotologs u.u saludos Título: Re: Fallos En Fotolog.com Publicado por: krackwar en 2 Agosto 2008, 06:33 am ya esta parcheado el bug en fotolog al aprecer Tienen otro XSS que no esta parcheado pero no es explotable miren www.fotolog.com/cuentafotolog/"><h1>lol</h1>mejor asi se dejan de joder con los fotologs u.u saludos Título: Re: Fallos En Fotolog.com Publicado por: Eazy en 10 Agosto 2008, 16:48 pm ya esta parcheado el bug en fotolog al aprecer Tienen otro XSS que no esta parcheado pero no es explotable miren www.fotolog.com/cuentafotolog/"><h1>lol</h1>mejor asi se dejan de joder con los fotologs u.u saludos No me anda ese >.<, btw el pibe del primer post, emiliano, felicitaciones. Título: Re: Fallos En Fotolog.com Publicado por: krackwar en 10 Agosto 2008, 17:02 pm ya esta parcheado el bug en fotolog al aprecer Tienen otro XSS que no esta parcheado pero no es explotable miren www.fotolog.com/cuentafotolog/"><h1>lol</h1>mejor asi se dejan de joder con los fotologs u.u saludos No me anda ese >.<, btw el pibe del primer post, emiliano, felicitaciones. Título: Re: Fallos En Fotolog.com Publicado por: EvilGoblin en 11 Agosto 2008, 15:20 pm aham
como ese hay varios xDDD :P pero nose que sacaras de bueno en eso.. si con una cookie no podes hacer nada mas q borrar y agregar a FF (y saber el mail de la persona q hizo el fotolog... q eso te sirve para recuperar la contraseña ;)..) habria q ver si el algorimo de recuperacion es variable :P.. pero se complica ya q debe haber millones de personas recuperando contraseña xD Título: Re: Fallos En Fotolog.com Publicado por: krackwar en 12 Agosto 2008, 03:04 am aham Con un XSS puedes robar cookies y esta contiene la informacion para el autoinicio de las cuentas y entonces puedes tobar pass.como ese hay varios xDDD :P pero nose que sacaras de bueno en eso.. si con una cookie no podes hacer nada mas q borrar y agregar a FF (y saber el mail de la persona q hizo el fotolog... q eso te sirve para recuperar la contraseña ;)..) habria q ver si el algorimo de recuperacion es variable :P.. pero se complica ya q debe haber millones de personas recuperando contraseña xD Título: Re: Fallos En Fotolog.com Publicado por: Eazy en 12 Agosto 2008, 06:07 am Con una cookie podes autentificarte pero no le podes robar la contraseña.
Título: Re: Fallos En Fotolog.com Publicado por: krackwar en 12 Agosto 2008, 18:29 pm Con una cookie podes autentificarte pero no le podes robar la contraseña. Si que podes.Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: >FedeX< en 13 Agosto 2008, 03:57 am Yo consegui cookies... Decodifiqué las cookies pero no puedo decodificar el último parámetro... Ademas de que en este parámetro no creo que esté la contraseña... Ya que aunque la victima cambe el passwd sigo entrando a su cuenta de todas maneras...
Pero por otro lado, no se trata de sesiones, ya que llevo con cookies de mas de 2 o 3 meses que aun funcionan a pesar de que estubieron inactivos todo ese tiempo... Alguien me daría una mano? Como robo passwd con una cookie? Se lo agradecería =D Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: krackwar en 13 Agosto 2008, 04:38 am Yo consegui cookies... Decodifiqué las cookies pero no puedo decodificar el último parámetro... Ademas de que en este parámetro no creo que esté la contraseña... Ya que aunque la victima cambe el passwd sigo entrando a su cuenta de todas maneras... Mas rato te muestro un ejemplo con este foro ...Pero por otro lado, no se trata de sesiones, ya que llevo con cookies de mas de 2 o 3 meses que aun funcionan a pesar de que estubieron inactivos todo ese tiempo... Alguien me daría una mano? Como robo passwd con una cookie? Se lo agradecería =D Título: Re: Fallos En Fotolog.com Publicado por: Eazy en 13 Agosto 2008, 05:03 am Con una cookie podes autentificarte pero no le podes robar la contraseña. Si que podes.Ok, si vos decis que se puede, me podes explicar aca o en un PM como se haria?, gracias. Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: EvilGoblin en 13 Agosto 2008, 21:10 pm si asi fuera =P estarian todos los sistemas en peligro xDD
Antes se podia.. pero eso cambio, no se guarda mas en una sesion la clave. solo estan en el servidor encriptadas. la forma mas facil de robar una password es accediendo primero a la PC del que loguea, o sniffeando la red (rebido a que no entra en HTTPS, va en texto plano) o con ingenieria social :P .. yo robe passwd con access diver con palabras referias al dueño del flog y agregando numeros de 0 a 2000 (por fechas de nacimiento).. y en un 60 o 70% funciona... solo hay q tener paciencia y analizar el fotolog.. =) Suerte Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: >FedeX< en 13 Agosto 2008, 23:37 pm Faa yo pense que era posible... Tengo como 30 cookies de 30 fotologs mas o menos importantes y no puedo hacer mucho sin sus passwds ... jeje por lo menos a 2 le saqué el passwd con XSS... Sii los que usaban firefox y ponen recordar contraseña =D
Título: Re: Fallos En Fotolog.com Publicado por: Eazy en 20 Agosto 2008, 13:58 pm Tienen otro XSS que no esta parcheado pero no es explotable miren www.fotolog.com/cuentafotolog/"><h1>lol</h1> ¿Por que eso no es explotable? Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: sirdarckcat en 20 Agosto 2008, 17:34 pm Pues con cache poisoning se le puede cerrar la sesión al usuario, y despues pedirle que vuelva a iniciar sesión.. guardando el valor de los campos antes de enviar el formulario, o algo así..
digo cache poisoning para que no tengas uqe abrir ventanas XSS es bien sexy :P Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: EvilGoblin en 20 Agosto 2008, 19:29 pm Pues con cache poisoning se le puede cerrar la sesión al usuario, y despues pedirle que vuelva a iniciar sesión.. guardando el valor de los campos antes de enviar el formulario, o algo así.. digo cache poisoning para que no tengas uqe abrir ventanas XSS es bien sexy :P Pero quedaria demaSiado obvio que despues de pasarle un link tenga que renovar la sesion =P...y la mayoria usan firefox, cosa que renueva el cache cada vez que entra a la pagina ..yo pensaria mas en algo como phishing ... Alguien probo si se puede usar VBSCRIPT? xD o que se pueda editar algun contenido.... acceder a la base de datos atraves del login? FLI atraves del banner?.. (no lo modifica me dijeron) :P seria cuestion de sentarse 2 o 3 hs y probar Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: Eazy en 20 Agosto 2008, 20:50 pm No se podria hacer un simple cookie stealer? :-\
Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: sirdarckcat en 21 Agosto 2008, 05:57 am Citar ..yo pensaria mas en algo como phishing ... eh.. eso fue lo que dije.. y con cache poisoning puedes hacer que se le cierre la sesión cuando entre a X página, o despues de dar Y cantidad de clicks.. (de hecho con puro XHR, no necesitas ni cache poisoning).Y hay maneras de proteger una aplicación basada en sesiones contra robo de cookies ;) Saludos!! Título: Re: Fallos En Fotolog.com Publicado por: krackwar en 21 Agosto 2008, 23:00 pm Tienen otro XSS que no esta parcheado pero no es explotable miren www.fotolog.com/cuentafotolog/"><h1>lol</h1> ¿Por que eso no es explotable? Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: hackeen en 2 Septiembre 2008, 07:44 am Olá
http://www.fotolog.com/all_photos.html?user=%3Cbody%20onload=alert(/HaCkEeN/)%3E XSS script ^^ Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: -sagitari- en 2 Septiembre 2008, 13:51 pm Con una cookie podes autentificarte pero no le podes robar la contraseña. Si que podes.yo diría que no se puede, te autologeas , pero no puedes saber la contraseña y para cambiarla tienes que escribir la contraseña actual. igualmente, no le encuentro mucha gracia a esto de robar fotologs.... salu2! Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: krackwar en 2 Septiembre 2008, 22:19 pm Olá Este si que es un bug explotable incluso te pediria que lo sacaras del post yo tambien voy a editar para sacar eso y lo mejor va ser avisar del bug ;) .http://www.fotolog.com/all_photos.html?user=%3Cbody%20onload=alert(/HaCkEeN/)%3E XSS script ^^ Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: hackeen en 3 Septiembre 2008, 06:30 am Olá Este si que es un bug explotable incluso te pediria que lo sacaras del post yo tambien voy a editar para sacar eso y lo mejor va ser avisar del bug ;) .http://www.fotolog.com/all_photos.html?user=%3Cbody%20onload=alert(/HaCkEeN/)%3E XSS script ^^ ;D ;D ;D ;D ;D ;D ;D ;D ;D ;D Va a coger varios cookies con eso :P :P :P Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: >FedeX< en 3 Septiembre 2008, 23:29 pm Olá Pero eso es re viejo... No puedo creer que todavía no lo hayan cerrado =Shttp://www.fotolog.com/all_photos.html?user=%3Cbody%20onload=alert(/HaCkEeN/)%3E XSS script ^^ XSS + Recordar Password = Password robada =D... Aunque de casualidad sale =/ Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: Eazy en 7 Septiembre 2008, 23:52 pm No se podria hacer un script en perl o algun otro lenguaje como perl para que pruebe contraseñas y/o fechas? :D (Como dijo EvilGoblin)
Título: Re: [°] [UP] Fallos En Fotolog.com Publicado por: jakjak en 10 Octubre 2008, 08:24 am Hola, soy nuevo y tengo q decir q no se mucho sobre el tema, pero si esnifeo el tráfico, puedo sacar la contraseña de ahí?, cómo?
|