Foro de elhacker.net

Seguridad Informática => Nivel Web => Mensaje iniciado por: R33B0T en 4 Mayo 2011, 00:33 am



Título: [MOD] Acceso foro mediante XSS
Publicado por: R33B0T en 4 Mayo 2011, 00:33 am
Hola comunidad... ante todo acudo a ustedes usuarios de mayor experiencia y conocimientos, pues necesito su ayuda...
Ya que mis conocimientos no son los suficientes para "esto que deseo hacer":

El caso es que deseo adquirir la contraseña de un usuario en cierto foro (Plataforma PHPBB 3.0.8), pues he leído sobre variadas formas como los ataques de BruteForce a PHPbb, los Dictionary Attack, etc, etc pero estos no puedo hacerlos ya que cuento con una velocidad de conexión mínima para serles franco solo navego a 6.5kb (no se sorprendan) sostenido, imagínense...

He observado como se mencionan las técnicas de los XSS para engañar a los usuarios, y me parecen bien interesante lástima que cuento con poco conocimiento sobre ello, además de que tengo poco tiempo para estudiar, pues no soy informático y el chance que tengo de "navegar en Internet" es mínimo ya que vivo en un país que está restringido a esta (el 70% de la población no tienen Internet) y las que lo tienen pues lo tienen en sus trabajos claramente bajo la supervisión de Administradores de Redes, es decir que no se puede husmear mucho o te deshabilitan la cuenta...

¿Qué sucede?, pues digamos que este es el foro supuestamente http://www.xxxxxxxx.com/foros/
 - pero por suerte tiene al descubierto su PhpMyAdmin en el sitio http://www.xxxxxxxxxx.com/phpmyadmin

Lo que estuve pensando fue, que si consigo entrar en el PhpMyAdmin su BD (Base de Datos), podría acceder a todas las "user&pass" entre estas la de mi victima, luego sacar la contraseña con alguna vía y por supuesto descifrar el hash...
Esto es lo que necesito saber y que me expliquen, si existe algún "código" para sacar datos remotamente de la BD, sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?...

Espero que puedan ayudarme e instruirme!!!...
Disculpen mi poca falta de conocimiento.
Salu2s y gracias de antemano!
Atentamente Rankor


Título: Re: Ayuda por favor...
Publicado por: Uruguayo Alpha en 4 Mayo 2011, 02:54 am
Hola, edita tu mensaje cambiandolo los sitios por: www.ejemplo/foro/Phpmyadmin
En elhacker.net esta prohibido poner los sitios..

Saludetes  :D >:( ::) :-( ;D :huh: :-* :-X :rolleyes: :( :o :) :P :-\ ;) :-[ >:D :¬¬ :xD :laugh: ;-) :silbar:


Título: Re: Ayuda por favor...
Publicado por: tragantras en 4 Mayo 2011, 15:28 pm
la web está offline / caida  :/

PD: cubano? xD


Título: Re: Ayuda por favor...
Publicado por: R33B0T en 20 Mayo 2011, 23:24 pm
Hola, gracias por la sugerencia de editar el post, de hecho la URL que había puesto antes no existe fue solo por ejemplificar, y sí chaval Cubano 100%... por lo visto nadie se ha tomado la molestia en hacer un aporte a mi causa de aprendizaje :-( .


Título: Re: Ayuda por favor...
Publicado por: Erfiug en 24 Mayo 2011, 18:45 pm
sé que existen varios Bugs* en PhpMyAdmin y ya han creado exploits, pero no puedo buscar información por falta de tiempo y restricciones, a pesar de que no puedo utilizar algo, sin saber previamente como funciona? y que hace?...
Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto ;)


Título: Re: Ayuda por favor...
Publicado por: R33B0T en 26 Mayo 2011, 15:58 pm
Si no tienes mucho tiempo para aprener ni te plantees dedicarte a esto ;)

Oh, gracias por la sugerencia, aunque no es por falta de tiempo sino por falta de "Internet" observa mi perfil, soy cubano, te recuerdo que el 90% de la población cubana no posee en su poder Internet, pues nos restringen al 95% y por X vías siempre tenemos que evadir las restricciones...
Como ya te puedes dar cuenta, Sí tengo que (dedicarme a esto) pues no veo la hora en que yo como ciberusuario tenga acceso pleno a Internet, al menos tener un email propio que de hecho no lo tengo, las personas que poseen internet son velados por los AdminRed como perros en la calle, si das en paso en falso, Opps! te jodiste chaval.
Sabes como estoy navegando ahora!!!, pues te digo, con una cuenta "prestada" espero que entiendas lo que te quiero decir, dicha cuenta, no puedo utilizar mucho para ciertos fines, te recuerdo soy Monitoreado, además mi ancho de banda es de solo 6KB *si no te asombres 6 kylobytes...

PD> Creo que me fui del tema original, pero solo es para hacerte entender a tí y a muchos que están en tasita de oro, yo estoy en tasa de fango *sabes que es fango, a lo mejor ni sabes que es eso... Moderadores, si toman este post como SPAM sencillamente cierrenlo.

-Repito, se agradece la ayuda a quien brinde conocimientos.

Atentamente: Rankor


Título: Re: Ayuda por favor...
Publicado por: tragantras en 26 Mayo 2011, 16:29 pm
vamos a ver, para estos menesteres se necesita una gran inversión de tiempo, no porque lo digamos nosotros, sino porque es así, hay que aprender muchismas cosas, y cuando las sepas todas, aún te faltarán!
Que te solucionemos ahora la papeleta y consigas la cuenta del admin del foro no va a cambiar nada, en 3 dias se te ocurrirá otra cosa, y no sabrás hacerla por tí mismo, volverás y te diremos lo mismo

Tienes que aprender tú, no necesitas internet constante para aprender, dedicate a recopilar toda la información que puedas mientras estés online, bájatela a un pendrive o sucedáneos y la lees offline

PD: como coño quieres que te ayudemos si la web en su día estaba caida, y ahora (que me parece bien) se han borrado los links


Título: Re: [MOD] Acceso foro mediante XSS
Publicado por: druppy en 4 Junio 2011, 01:03 am
Si quieres obtener una contraseña mediante XSS primero tienes que encontrar una vulnerabilidad XSS. La gracia de esto es que puedas inyectar código html..

Luego que la encontraste puedes hacer un phishing, esto es que por ejemplo tienes la web:

www.ejemplo.com/login.php

Donde obviamente los usuarios ponen sus datos para ingresar.

Puedes encontrar XSS en cualquier otro lado de la web, por ejemplo:

www.ejemplo.com/site/modules/buscar.asp?input=<inyeccion>

Teniendo la vulnerabilidad, tienes que entrar a ver hasta qué punto es vulnerable, y luego puedes hacer phishing o robar cookies. Puedes inyectar algo que simule el login original de la página, pero que te envíe los datos de ingreso a tu correo por dar un ejemplo, y mandarle la url de tu página falsa a la víctima. Al ver que es una página dentro del sitio, se supone que debería picar el gancho.

http://es.wikipedia.org/wiki/Cross-site_scripting

Bueno eso es más menos la idea, es un trabajo de chinos y no te lo recomiendo, no está mal aprender y encontrar una XSS pero de ahí a empezar a robar cookies ya estarías alejándote un poco del sentido del asunto.. y si quieres aprender puedes tu mismo montar tu página y hacer una vulnerabilidad XSS, hacer los scripts, etc. Puedes usar xamp para esto.. en fin son muchas cosas no es algo que hagas de un día para otro y menos si el objetivo es "sacar el password de alguien" y menos aún si nunca lo has hecho antes. De hecho si realmente quieres hacer algo hay otros métodos, es cosa de ingeniárselas, por darte algunas ideas busca sus datos, colócalos en los buscadores y ve si está registrado en otros sitios, busca otras vulnerabilidades más accesibles en esos sitios, encuentra los datos de la persona y con suerte usará la misma contraseña para todo, de ahí tu verás. Pero bueno no se si me entendiste, es algo que requiere aprender muchas cosas no existe un "tutorial" y con ingenio se pueden hacer cosas mejores, de hecho si conoces a la persona pues vas a su casa y sacas las pass de su PC, mucho más simple.. lol.


Título: Re: [MOD] Acceso foro mediante XSS
Publicado por: WHK en 15 Junio 2011, 08:32 am
Yo pienso que lo primero que debes saber es que rayos es un xss, date una vuelta por el post de tutoriales básicos, te ayudarán bastante:

http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_31510-t244090.0.html

http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html


Título: Re: [MOD] Acceso foro mediante XSS
Publicado por: .:UND3R:. en 16 Junio 2011, 20:27 pm
No importa que estés tan limitado a poder utilizar internet, tan solo cuando tengas la posibilidad estudia manuales demasiados y cuando tengas proximas posibilidades de usar internet aplica lo estudiado, pero de que hay que leer hay que hacer

Saludos