|
Título: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 06:51 am Supongamos que tenemos esta función:
Código
Ingresaria algo como esto... Código: <h1>Shell Root</h1> El resultado seria esto: Código: [No]h1[No]Shell Root[No]/h1[No] Como Fuck, se puede bypassear esa función, es una duda que tengo desde hace raton, y le pregunte a Tomi, y no me entendio... xD Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 07:07 am Hace un tiempo pregunté mas o menos lo mismo en el foro de whk y al parecer sería con javascript algo como
prueba.php?var=" onclick="alert(document.cookie)" algo mas no recuerdo xD Pero se deben cumplir ciertos requisitos al mostrar la variable, también podría ser con onload, la verdad no entendí muy bien xD Título: Re: Como bypassear función str_replace()? Publicado por: WHK en 10 Marzo 2010, 07:17 am pues claro, todo depende como esté hecho el script, en que lugar pones esa función ya que así por si solo no impide xss si se encuentra dentro de un input o código javascript, etc debido a las comillas.
Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 07:24 am Como me recomendaste esa vez mejor usar htmlspecialchars con ENT_QUOTES, aún asi sí quieres joder a los h4x0rs un rato podrías revisar la variable en busca de <, >, ' y " y lanzar un mensaje de "te estoy viendo eh!" ja ja ja
Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 07:25 am Como es una simple duda, es una funcion comun y corriente, que recibe como parametro el string para mostrarlo en la pagina, quitandole caracteres como < y >, la funcion en general es así:
Código
Hay forma de bypassearlo y generar un XSS? Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 07:33 am Sí lo muestras derecho en la página nop, sí por ejemplo está en el value de un input o dentro de parámetros de alguna etiqueta html sip
Por ejemplo replace_sh($var) no es vulnerable <input type="text" value="'.replace_sh($var).'"> es vulnerable Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 07:50 am mmm es verdad, bastaria con esto para generar un XSS.
Código
Interesante! :silbar: Entonces, definitivamente, no se puede generar un XSS mientras no este dentro de algo. Título: Re: Como bypassear función str_replace()? Publicado por: WHK en 10 Marzo 2010, 11:07 am y porque no usar htmlspecialchars? es nativo de php y cumple bien su función.
Ahora también hay temas relacionados con la codificación de documento como utf-7 pero eso ya es otro tema. Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 17:29 pm y porque no usar htmlspecialchars? es nativo de php y cumple bien su función. Simon, pero como os dije al inicio, es una duda que tengo hace raton... Ahora que entendí como es el bypasseo de la funcion str_replace(), con caracteres < y >. Ahora lo siguiente es incluir el caracter ". Así: Código
Ahora como seria ese bypasseo... Antes era algo así: Código: \"' onClick='alert(/XSS/);' Ahora si pongo eso, el resultado seria: Código: [No]' onClick='alert(/XSS/);' Que podria hacer en ese caso? Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 17:42 pm SQLi xD
Por sí acaso filtra la comilla simple también y los backslashes Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 17:46 pm mmm en el caso anterior no se podria generar un XSS :rolleyes:.
Título: Re: Como bypassear función str_replace()? Publicado por: ~ Yoya ~ en 10 Marzo 2010, 18:00 pm Hay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo...
El codigo que usas se puede usar para detener XSS vía GET, mayormente se usa peticiones POST para enviar datos a hacia la BD pero ya el XSS puede convertirse en un XSS permanente y hay diferentes forma para ejecutar XSS, por eso te digo que depende mucho el ambiente, porque puedes ejecutar javascript desde CSS, llamando archivos externo, desde body, etc... Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 18:10 pm Hay mucha mas formas, pero también depende el entorno y donde vayas a usarlo xD, por ejemplo... Si seguimos el entorno en el que está es el siguiente:Código
Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 18:54 pm El xss permanente fue lo que mas me divirtio hace años cuando nacían los libros de visitas xD la gente decía... Hacker deja de molestar por favor, ja ja ja yo lo conocí como inyección html hasta que WHK me pregunto... "y sí inyecto javascript?" xD
De todas formas siempre que quieras proteger tu página debes conocer el ataque que quieres parar, por ejemplo, como pasarías un SQLi sin saber como ejecutar uno? Para atacar hay que saber defender y viceversa Título: Re: Como bypassear función str_replace()? Publicado por: Pazador en 10 Marzo 2010, 19:05 pm Como me recomendaste esa vez mejor usar htmlspecialchars con ENT_QUOTES, aún asi sí quieres joder a los h4x0rs un rato podrías revisar la variable en busca de <, >, ' y " y lanzar un mensaje de "te estoy viendo eh!" ja ja ja y porque no usar htmlspecialchars? es nativo de php y cumple bien su función. Ahora también hay temas relacionados con la codificación de documento como utf-7 pero eso ya es otro tema. hay alguna diferencia si uso htmlentities("$X",ENT_QUOTES) ?? yo lo uso en lugar de htmlspecialchars :huh: Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 19:34 pm htmlentities desarma los caracteres y se ve feo a mi gusto xD pero es cosa de gustos o depende de en que lo vayas a usar.
Título: Re: Como bypassear función str_replace()? Publicado por: ~ Yoya ~ en 10 Marzo 2010, 22:04 pm También ten en cuenta que no estas bypaseando la función str_replace(), si no los parámetros...
Si alguna vez logran bypassearlo no estarán bypasseando la función php str_replace(), si no los parámetros que le indicaste. Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 22:17 pm Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y >
Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me El diseño está pensado para celulares asi que no le pidan mas xD Título: Re: Como bypassear función str_replace()? Publicado por: WHK en 10 Marzo 2010, 22:55 pm janito, tu web tiene xss :P
Código: '"><h1>test Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 23:17 pm xss-me u otra página? Sí es en esa no necesitas la primera comilla xD de echo basta con <h1>test
Está bajo control xD Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 10 Marzo 2010, 23:20 pm Se olvidaron de mi duda... :P
Ahora que entendí como es el bypasseo de la funcion str_replace(), con caracteres < y >. Ahora lo siguiente es incluir el caracter ". Así: Código
Ahora como seria ese bypasseo... Antes era algo así: Código: \"' onClick='alert(/XSS/);' Ahora si pongo eso, el resultado seria: Código: [No]' onClick='alert(/XSS/);' Que podria hacer en ese caso? Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 10 Marzo 2010, 23:25 pm Pues mmm, habría que pensar un poquito mas xD
Título: Re: Como bypassear función str_replace()? Publicado por: ~ Yoya ~ en 10 Marzo 2010, 23:25 pm filtra todas la comillas simples y dobles... Desactiva Magic_Quote_GPC
Título: Re: Como bypassear función str_replace()? Publicado por: WHK en 11 Marzo 2010, 00:28 am si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities.
Título: Re: Como bypassear función str_replace()? Publicado por: Shell Root en 11 Marzo 2010, 00:51 am si quieres filtrar " ' < > mejor usa htmlspecialchars que hace lo mismo pero en ves de ponerle [no] le pone su valor equivalente en htmlentities. Por su pollo, pero lo digo por 2da vez, es un ejemplo y una duda que tengo. Ahora si le hago un str_replace a la comilla doble, como hago para generar un XSS, o ahi si seria completamente imposible. Sin olvidar el entorno en el que estoy...Título: Re: Como bypassear función str_replace()? Publicado por: ~ Yoya ~ en 11 Marzo 2010, 00:55 am Al fin y al cabo acabaras haciendo lo mismo con htmlentities, recuerda que estas bypasseando el parámetro que le indicas, y dudo que algúna persona use los mismo parámetros, mejor usan una función nativa de php...
Título: Re: Como bypassear función str_replace()? Publicado por: jdc en 11 Marzo 2010, 04:39 am Perdón un error, no es que una sea mas bonita o mas fea, ambas funciones trabajan de igual forma, juntas muestran los caracteres de cada carácter xD la diferencia es que htmlentities transforma todas las entidades html incluyendo por ejemplo las letras con acentos, mientras htmlspecialchars sólo con por ejemplo < y > Sí quieren ver como funcionan ambas pues http://www.holamundo.cl/index.php?zona=xss-me El diseño está pensado para celulares asi que no le pidan mas xD Mira revisa la pagina otra vez, puse tu funcion como la pusiste al principio, luego quitando solo la ' y luego solo la " Intenta poner: " onmouseover="alert(document.cookie);" x=" y luego pasa el raton por encima de los text en blanco ;) En teoria segun eso con bloquear la " es suficiente pero yo bloquearia ambas xD lo dicho, usa htmlspecialchars($var,ENT_QUOTES) :xD |