elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección


  Mostrar Mensajes
Páginas: 1 ... 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [19] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 ... 111
181  Seguridad Informática / Bugs y Exploits / Re: inyeccion de codigo html en: 22 Junio 2012, 01:42 am
Cita de: RedZer en 21 Junio 2012, 05:32 am
tienes mucha razon ~ Yoya ~ ahorita me he alejado un buen de la programacion, y conforme a lo que me comentas  estoy conciente de que debo de estudiar el sistema primero, pero tu dices que con un xss puedes realizar varios cambios , pero para realizar tal cosa debes de conocer la estructura de la bd , y es ahi donde estoy estancado en que me puedo basar para lograr explotar al maximo la falla que he encontrado

La estructura de la DB no, la del sistema, por ejemplo si encontrara un XSS en el foro del elhacker, estudiaria SMF, para ver como trabaja.

Cita de: whiteN0ise en 21 Junio 2012, 23:12 pm
Pues no me puedo imaginar cómo se podría explotar /*directamente*/ una vulnerabilidad en la que el objetivo del ataque es el cliente y que también, al mismo tiempo, sirva para inyectar 'código html' que permita modificar u obtener registros de la base de datos del lado del servidor.

No sé, será algo así como escribir un exploit para cierta vulnerabilidad de OpenSSH y quererlo usar para que al mismo tiempo nos permita hacer BOF al servico SMB. Si existe algo así quiero verlo..

Saludos.

Debes estar confundido sobre algunos conceptos.
182  Seguridad Informática / Bugs y Exploits / Re: inyeccion de codigo html en: 21 Junio 2012, 03:40 am
Deja de pensar en todos los demás. Piensa así, javascript se ejecuta del lado del cliente osea, que puedes hacer que el navegador realice cualquier acción sin que el usuario se de cuenta.

Por ejemplo, si encontrara un XSS en elhacker, yo pudiera hacer cualquier cosa, desde enviar mensaje y borrar post (en caso de ser mod), eliminar usuario, cualquier cosa que SMF le permita hacer al usuario.

Pero hay algo que me detiene, que seria una  captcha o una verificación de password.
Para hacerle un bypass a la primera (captcha), se me ocurre mostrar en el centro la  captcha y forzar el usuario para que escriba la captcha y poder hacerle el bypass. Para la verificación del password, se me ocurriría lo mismo.

Si ya eres programador, se te hara muy facil. Cuando necesitas hacer algo como programador no buscas codigos ya hechos, piensas en como lo podria hacer y lo programas. Algo similar pasa con este tipo de vulnerabilidad, pero en vez de pensar, la gente comienza a buscar códigos de como explotar, como el FAMOSO robo de cookie, en vez de comenzar a pensar la forma en que te podrías aprovechar de esta vulnerabilidad y crear un vector de ataque. Y estoy seguro que muchas personas no asocian XSS con javascript, supongo que para alguno la forma de sacar cookie por medio de un "XSS" viene siendo como magia.

El primer paso es estudiar el sistema.

Saludos.
183  Sistemas Operativos / GNU/Linux / Re: Cual es la mejor distro para desarrolladores? en: 20 Junio 2012, 15:36 pm
No
184  Sistemas Operativos / GNU/Linux / Re: Cual es la mejor distro para desarrolladores? en: 20 Junio 2012, 15:19 pm
Yo desde hace tiempo soy desarrollador web, siempre he utilizado Fedora y me ha gustado bastante, muy estable. De momento ando utilizando Debian Wheeze (testing). Estoy muy conforme ya que es una distro muy personalizable, solo viene con lo esencial pre-instalado.

Como IDE para PHP/javascript/CSS, antes utilizaba Quanta Plus pero ahora utilizo Aptana y me quedo con este ultimo xD.

Saludos.
185  Programación / PHP / Re: Como subir un fichero a otro servidor ¿Cómo sería mejor? en: 10 Junio 2012, 15:11 pm
Yo igual te recomiendo ocupar Curl, es muy rápido...
186  Programación / PHP / Re: Sumar variables en: 7 Junio 2012, 20:35 pm
Men, el ejemplo anterior es un poc, de hay puedes hacerte idea de como lo podrias hacer.
Código
  1. <?php
  2.  
  3.  
  4. if(!file_exists('xd.txt')){
  5. 	//Creo el archivo de texto con un numero... 1000
  6. 	file_put_contents('xd.txt', 1000);
  7. }
  8. //Imprimo el valor del archivo...
  9. $n = file_get_contents('xd.txt');
  10.  
  11. echo "$n <br>\n";
  12. //Ahora le sumo 130...
  13. file_put_contents('xd.txt', $n+130);
  14.  
  15.  
  16. //Imprimo el archivo xd.txt
  17.  
  18. $new = file_get_contents('xd.txt');
  19. echo "$new <br>\n";
  20.  
  21. ?>

Si presiona F5, se va sumando de a 130 ahora.
187  Programación / PHP / Re: Sumar variables en: 7 Junio 2012, 20:07 pm
Aqui un ejemplo...

Puedes usar file_put_contents para sobre-escribir el archivo y file_get_contents para leerlo

Código
  1. <?php
  2.  
  3.  
  4. //Creo el archivo de texto con un numero... 1000
  5. file_put_contents('xd.txt', 1000);
  6.  
  7. //Imprimo el valor del archivo...
  8. $n = file_get_contents('xd.txt');
  9.  
  10. echo "$n <br>\n";
  11. //Ahora le sumo 130...
  12. file_put_contents('xd.txt', $n+130);
  13.  
  14.  
  15. //Imprimo el archivo xd.txt
  16.  
  17. $new = file_get_contents('xd.txt');
  18. echo "$new <br>\n";
  19.  
  20. ?>

Salida:
Código:
1000
1130

Saludos.
188  Programación / PHP / Re: Problema RSS Facebook en: 3 Junio 2012, 19:35 pm
El problema es con el parse entonce, una buena idea es la de dimitrix, acortar la URL.

También puedes ocupar este parse xD.

index.php
Código
  1. <?php
  2.  
  3. require_once('feed.php');
  4.  
  5. $feed = new FeedComponent();
  6. print_r($feed->parser('https://www.facebook.com/feeds/notifications.php?id=319579974767006&viewer=1074983523&key=AWhjAKL7r9fCfZlH&format=rss20'));

feed.php
Código
  1. <?php
  2.  
  3. class FeedComponent {
  4. 	protected $URL = NULL;
  5.  
  6.  
  7.  
  8. 	public function parser($site) {
  9. 		$result = null; //Variable que retornara el Feed ya parseado
  10. 		$this->URL = $site;
  11. 		$source = $this->getSource($this->URL);
  12.  
  13. 		$xmlSource = new SimpleXMLElement($source, LIBXML_NOCDATA);
  14.  
  15.  
  16. 		//Detecta si el Feed es tipo Atom...
  17. 		if(preg_match('/<feed[^>]+>/i', $source)) {
  18. 			$result = $this->AtomParser($xmlSource);
  19.  
  20. 		//Detecta si el Feed es tipo RSS...
  21. 		}elseif(preg_match('/<rss[^>]+>/i', $source)) {
  22. 			$result = $this->RssParse($xmlSource);
  23. 		}
  24.  
  25. 		//Retorno el contenido...
  26. 		return (empty($result)) ? NULL : $result;	
  27.  
  28. 	}
  29.  
  30.  
  31. 	//Function para obtener el codigo de fuente de un archivo Feed
  32. 	protected function getSource($site) {
  33.  
  34. 		$this-> URL = $site;
  35.  
  36. 		$ch = curl_init();
  37. 		curl_setopt($ch, CURLOPT_HTTPHEADER, array('Content-type: text/xml'));
  38. 		curl_setopt($ch, CURLOPT_USERAGENT, 'Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.125 Safari/533.4');
  39. 		curl_setopt($ch, CURLOPT_REFERER, 'http://www.google.com');
  40. 		curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
  41. 		curl_setopt($ch, CURLOPT_URL, $site);
  42. 		$result = curl_exec($ch);
  43. 		curl_close($ch);
  44. 		return $result;
  45. 	}
  46.  
  47.  
  48.  
  49.  
  50. 	//Metodo para parsear Feed tipo Atom...	
  51. 	protected function AtomParser($xmlSource) {
  52.  
  53. 		$temp;
  54.  
  55. 		foreach($xmlSource->entry as $arts) {
  56. 			$temp[] = array('titulo' => $arts->title, 'articulo' => $arts->content, 'url' => $arts->link[4]->attributes()->href);
  57.  
  58. 		}
  59.  
  60. 		return $temp;	
  61.  
  62. 	}
  63.  
  64.  
  65. 	//Metodo para parsear Feed tipo RSS	
  66. 	protected function RssParse($xmlSource) {
  67. 		$temp = null;
  68.  
  69. 		foreach($xmlSource->channel->item as $arts) {
  70.  
  71. 			$temp[] = array('titulo' => $arts->title, 'articulo' => $arts->children('content', TRUE), 'url' => $arts->{'link'});
  72.  
  73. 		}
  74.  
  75. 		return $temp;
  76.  
  77. 	}
  78.  
  79.  
  80. }
  81. ?>
189  Programación / Desarrollo Web / Re: Frameworks en: 2 Junio 2012, 20:26 pm
Para CSS te recomiendo 960 Grid System, un grandioso framework y es el que siempre utilizo.

Tambien te recomiendo estas muy buenas web, te seran de mucha ayuda estoy seguro.

Diseño web - Tuts+
Desarrollo web - Tuts+
190  Programación / PHP / Re: fclose no me funciona y no me cierra el archivo en: 2 Junio 2012, 20:11 pm
Primero que nada, no puedes escribir nada en un archivo si no utilizas fwrite. Por lo tanto si aparecen datos de mas, lo mas seguro que el problema esta en los datos que le estas pasando al fwrite. Y mucho menos que desde los datos HTML estén sobre-escribiendo archivos en el sistema XD.

Te recomiendo que vayas mostrando el contenido que le pasaras al fwrite y luego que termine todo le haces un exit, para finalizar la ejecucion del archivo y nose muestre lo que esta después.

Prueba con esto:
Código
  1. if (!empty($_POST["boton"])){         
  2.        $nombre = basename("semana.csv");
  3.             $f = fopen($nombre, "w");     
  4.        for ($y=0; $y<$filasaplicacion; $y++){
  5.          fwrite($f,$apli[$y]);
  6. 		 echo $apli[$y];
  7.          for ($x=0; $x<3; $x++){
  8.             fwrite($f,",");  
  9. 			echo ',';           
  10.             fwrite($f,$datos[$x][$y]);
  11. 			echo $datos[$x][$y];
  12.          }
  13.              fwrite($f,"\n");
  14.             }
  15.        fclose($f);
  17.        header("Cache-Control: public");
  18.        header("Content-Description: File Transfer");
  19.        header("Content-Disposition: attachment; filename=".$nombre);
  20.        header("Content-Type: application/force-download");
  21.        header("Content-Transfer-Encoding: binary");   
  22.        readfile($nombre);
  23.         }
  24.  
Páginas: 1 ... 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 [19] 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 ... 111
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines