|
Título: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 2 Septiembre 2008, 19:44 pm XSS en "Fantastico Deluxe" (Hosting Cpanel)
Fantastic Deluxe es una herramienta gratuita que viene instalada por defecto en la mayoría de servidores con Cpanel, puede que no se use, no obstante es vulnerable a XSS y eso si que es importante ya que si se accede donde está esta herramienta se accede a todo el panel de control de Cpanel. (http://i214.photobucket.com/albums/cc173/dimitrix-es/XSS%20and%20Others/1-1.jpg) (http://i214.photobucket.com/albums/cc173/dimitrix-es/XSS%20and%20Others/2.jpg) Código: http://www.dominio.com:2082/frontend/x3/fantastico/send_extra_notification.php?email_address=[XSS] Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 2 Septiembre 2008, 23:14 pm Me he dado cuenta de que hay más XSS en el fantastic.
Un saludo. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: lipman en 2 Septiembre 2008, 23:40 pm Enorabuena por encontrarlo
Actualmente conozco varios hostings con el cpanel, y varios gratuitos como ifastnet creo Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 2 Septiembre 2008, 23:45 pm Gracias lipman. El problema que tengo con esto, es que no se quien lo ha creado, por mucho que busque por Google, no se quien lo ha creado y no puedo informar.
Un saludo. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: Eazy en 3 Septiembre 2008, 04:56 am Bien..
Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: NaSaRiD15 en 3 Septiembre 2008, 05:56 am Una pregunta, existe esta vulnerabilidad en todas las verciones del cpanel? o solo en algunas?.
Disculpa la ignorancia pero si te animas a explicarlo un poquito mas, estaria muy agradecido. Gracias y saludos. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 3 Septiembre 2008, 14:06 pm Una pregunta, existe esta vulnerabilidad en todas las verciones del cpanel? o solo en algunas?. Disculpa la ignorancia pero si te animas a explicarlo un poquito mas, estaria muy agradecido. Gracias y saludos. Creo que está en todas las versiones, pero ya te digo que es una herramienta que está en los Cpanels pero que los administradores creo que pueden no ponerla. Un saludo. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: NaSaRiD15 en 3 Septiembre 2008, 19:23 pm Sisi, ya se que el fantastiko es una herramineta del Cpanel solo queria saber cual fue el codigo que insertaste aqui.
http://www.dominio.com:2082/frontend/x3/fantastico/send_extra_notification.php?email_address=[XSS] Gracias y saludos. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 3 Septiembre 2008, 20:16 pm Te cuento, mira esto:
http://es.wikipedia.org/wiki/Cross_Site_Scripting XSS simplemente inyección de código HTML o Scripts que le ejecutan en la máquina cliente, en ningún caso en el servidor (mientras no se guarde en un log y luego se muestre). Ahí lo único que puse fue una imagen mía, pero aquí tienes un ejemplo: Código: <img src="http://foro.elhacker.net/Themes/converted/images/icons/folder_open.gif" alt="+" border="0"> Si quireres acceder al de otro, tendrás que hacer un script que te envíe las cookies para así acceder, un saludo. Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: BenRu en 15 Septiembre 2008, 02:50 am Para esto, tendrás que estar logueado en Cpanel...de ser así, que sentido tiene?
Un saludo Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 15 Septiembre 2008, 09:10 am Benru eso es como todos los xss... si no hiciera falta el registro ¿Para que quieres las cookies?
Título: Re: XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: BenRu en 15 Septiembre 2008, 21:27 pm Se me fue la pinza xD...
Necesito dormir mas :xD Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: diegui69 en 29 Septiembre 2008, 09:56 am Hola, a ver estoy interesado en sacar el usuario y contraseña de una pagina web.
entendi que si metia el codigo que indicais mas arriba podria obtener algo, pero me pide usuario y contrasña. para que sirve el codigo que habeis puesto?? y como podria conseguir usuario y contraseña, o entrar?? lo que necesito es hacer una copia de la base de datos y bajarme la pagina desde el ftp. se puede conseguir?? Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 29 Septiembre 2008, 10:01 am diegui69 leete estos dos post:
http://es.wikipedia.org/wiki/Cross_Site_Scripting http://es.wikipedia.org/wiki/Cookie Para empezar necesitas que el otro user le de al link y programar (sencillo) una aplicación para recibir en tu correo o que se guarde en txt los datos de la cookie. Un saludo. Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: jdc en 29 Septiembre 2008, 10:51 am Hola tengo un amigo que da servicio de hosting y tiene el fantástico deluxe, se puede parchear o solucionar este bug ya o todavía no?
Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 29 Septiembre 2008, 11:13 am Te comento con actualizaciones creo que no, no obstante si lo modifica él, añadiendo "htmlspecialchars" a $email_address ya estaría.
Un saludo. Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: jdc en 29 Septiembre 2008, 19:43 pm Ok muchas gracias por la respuesta :)
Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: dimitrix en 29 Septiembre 2008, 20:34 pm De nada, para eso estamos.
Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: Eazy en 29 Septiembre 2008, 22:13 pm XSS simplemente inyección de código HTML o Scripts que le ejecutan en la máquina cliente, en ningún caso en el servidor Si se puede ejecutar en el servidor, como los Stored XSS. Título: Re: [°] XSS en "Fantastico Deluxe" (Hosting Cpanel) Publicado por: Camael en 23 Noviembre 2008, 21:02 pm Hay más variables vulnerables, aquí tenéis una pequeña lista:
Código: $localapp Se usa así: Código: https://dominio.com:2083/frontend/x3/fantastico/autoinstall4imagesgalleryupgrade.php?action=Upgrad e%20to%201.7.4&localapp=%22%3Cscript%3Ealert(%27XSS%27)%3C/script%3E donde "localapp" es el nombre de variable. |