Foro de elhacker.net

Seguridad Informática => Hacking Ético => Mensaje iniciado por: xDark_R en 9 Abril 2016, 20:46



Título: Ayuda con XSS y Server PHP
Publicado por: xDark_R en 9 Abril 2016, 20:46
Hola,he empezado a leer esto "http://wiki.elhacker.net/bugs-y-exploits/nivel-web/xss (http://wiki.elhacker.net/bugs-y-exploits/nivel-web/xss)" para conseguir hacer los retos del warzone. El problema es que me redirige a esta pagina "http://tallervulneravilidades.iespana.es/ejerxss (http://tallervulneravilidades.iespana.es/ejerxss)" para hacer el XSS debido a eso he empezado a buscar y me encontra con los programas EasyPHP devserver y EasyPHP webserver lo he puesto en marcha pero sinceramente no tengo ni idea de que hacer porfavor me podrias ayudar.
Quiero hacer esto.

Citar

Ahora os dejo una tarea, tenéis que explotar la siguiente vulnerabilidad de XSS, si no lo consegis pondré la respuesta en el siguiente capitulo.
Este es el código de la vulnerabilidad:



<!--
Codigo de "index.html"
//-->
 
<HTML>
<HEAD>
<TITLE>Ejercicio 1: Vulnerabilidad XSS</TITLE>
</HEAD>
 
<BODY>
<BR>
<H2>Ejercicio 1: Vulnerabilidad XSS</H2>
<BR>
<BR>
<H4>Aquí lo que escribes sale dentro de una caja de texto, así que no se ejecuta el código, lo que hay que hacer para que el código se ejecute es romper la caja de texto para que el código quede fuera de ella.</H4>
<BR>
<BR>
<FORM ACTION="xss.php" METHOD="get">
 
  <INPUT TYPE="text" NAME="vuln">
<BR><BR>
  <INPUT TYPE="submit" VALUE="Enviar">
 
</FORM>
</BODY>
</HTML>


 
Citar

Ahora pongo el codigo del programa que recibe las variables (xss.php):


<?php
 
$var = $_GET["vuln"];
 
?>
<FORM>
<BR>
Has escrito: <INPUT TYPE="text" VALUE="<?php echo $var; ?>">
</FORM>

 ( En la URL "buscar" es la variable a la que le asignamos "codigo_insertado", que es el que escribe al decir que no encuntra lo que buscamos. Ej: "Su busqueda: codigo_insertado no ha sido encontrasa, repita la busqueda")
 


Muchisimas gracias. :D ;D


Título: Re: Ayuda con XSS y Server PHP
Publicado por: m0rf en 11 Abril 2016, 18:19
Si no sabes por donde empezar lee sobre xss y si no comprendes el código tendrías que aprender antes algo de los lenguajes que se utilizan.

Aquí en el foro tienes mucha información.

Si tienes un problema concreto te puedo ayudar pero si vas en plan resuelve-lo pues como que no. No es muy complicado aprende en general ha hacer xss y no tendrás problema en resolverlo.

Saludos.


Título: Re: Ayuda con XSS y Server PHP
Publicado por: xDark_R en 19 Abril 2016, 14:53
En realidad tenia problemas para poner en marcha un servidor y probarlo, pero aunque entienda el lenguaje no entiendo como se puede usar esta vulnerabilidad.