Bienvenido, invitado ( Identificarse | Registrarse )

2 Páginas: V   1 2 >  
Reply to this topicStart new topic
Necesito 1 aclaración, 76 - XSS 2
Paisterist
mensaje 20/08/2005 21:35
Publicado: #1
Novato++
**



Grupo: Miembro
Mensajes: 70
Registrado: 13/09/2003
País: Argentina
Ranking : 25 º/ 480.40
Avance : 34.72 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaLenguajes de ProgramaciónMixMisiones ImposiblesSistemas OperativosEsteganografía
Comunidad: NeoSecurityTeam
Rank: ON



Bueno... como no se creó el post de XSS vol 2 pregunto mi duda...

Creo que no está bien explicado, no entendí bien la parte de "reemplazar"... a ver si alguien me lo aclara un poco. Tengo problemas para enviar la cookie por href... pero creo que lo voy a solucionar.

Saludos
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 20/08/2005 22:06
Publicado: #2
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



CITA
Bueno... como no se creó el post de XSS vol 2 pregunto mi duda...

Creo que no está bien explicado, no entendí bien la parte de "reemplazar"... a ver si alguien me lo aclara un poco. Tengo problemas para enviar la cookie por href... pero creo que lo voy a solucionar.



El reto esta lo mejor explicado posible ya que no es facil hacer que todos los users creen el mismo HTML,pero para eso esta el foro no? para preguntar jeje,como se que habra mas dudas sobre este reto voy a crear un tema para el

Saludos!
Go to the top of the page
 
+Quote Post
[Swat]
mensaje 21/08/2005 02:37
Publicado: #3
Novato
*



Grupo: Lurker
Mensajes: 18
Registrado: 18/08/2005
País: México
Ranking : 1098 º/ 22.11
Avance : 1.60 %
All Stars
Lenguajes Diseño WebSeguridadCrackingCriptografiaMixEsteganografía
Rank: ON



Yo tengo problemas con el de Dominio2... ya le busque de todas formas y no encuentro las respuesta... ¿alguna pista o un empujoncito?
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 21/08/2005 10:13
Publicado: #4
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



CITA
']Yo tengo problemas con el de Dominio2... ya le busque de todas formas y no encuentro las respuesta... ¿alguna pista o un empujoncito?
Ok voy a crear un post para Acerca de los dominios 2 y alli te respondo !
Go to the top of the page
 
+Quote Post
Paisterist
mensaje 21/08/2005 15:44
Publicado: #5
Novato++
**



Grupo: Miembro
Mensajes: 70
Registrado: 13/09/2003
País: Argentina
Ranking : 25 º/ 480.40
Avance : 34.72 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaLenguajes de ProgramaciónMixMisiones ImposiblesSistemas OperativosEsteganografía
Comunidad: NeoSecurityTeam
Rank: ON



Pasado los de XSS... :) Ahí estuvimos testeando con Alex y samurah los retos... excelentes, mis críticas ya las tiene ;)

Saludos
Go to the top of the page
 
+Quote Post
ekis
mensaje 24/08/2005 22:02
Publicado: #6
Lurker




Grupo: Lurker
Mensajes: 6
Registrado: 27/07/2005
Desde: cordoba
País: Argentina
Ranking : 402 º/ 81.96
Avance : 5.92 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaMixSistemas OperativosEsteganografía
Rank: ON



che que onda como van?

Weno este post es porque la verdad estoy medio confundido con este reto, puede ser que valla algun onclick por ahi, ??? o solamente me manejo con los onmuose que dan en la explicacion?
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 24/08/2005 22:16
Publicado: #7
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



Solo con que te da la explicacion....este reto ya requiere ciertos conocimientos de XSS.....no es tan facil como el vol.1 la verdad jeje.....los onmouse...van drentro del link :)
Go to the top of the page
 
+Quote Post
ekis
mensaje 24/08/2005 22:22
Publicado: #8
Lurker




Grupo: Lurker
Mensajes: 6
Registrado: 27/07/2005
Desde: cordoba
País: Argentina
Ranking : 402 º/ 81.96
Avance : 5.92 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaMixSistemas OperativosEsteganografía
Rank: ON



sese, pasa q lo tome por otro lado, me confundi por el echo de la barra de estado jeje, ya sabes [javascript="window.status:'], pense que venia por ahi...saludos
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 24/08/2005 22:29
Publicado: #9
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



window.status es parte del codigo....pero va dentro de algo....de todas maneras eso es lo facil del reto lo dificir es hacer el XSS xDDD
Go to the top of the page
 
+Quote Post
ekis
mensaje 24/08/2005 23:39
Publicado: #10
Lurker




Grupo: Lurker
Mensajes: 6
Registrado: 27/07/2005
Desde: cordoba
País: Argentina
Ranking : 402 º/ 81.96
Avance : 5.92 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaMixSistemas OperativosEsteganografía
Rank: ON



Fuck xss, che la verdad seguramente sea la forma en que toy robando la cookie, pero aparte de eso ...:|, la variable que toma los valores de la cookie tiene algun nombre en especial, o algo lo suficientenmente obvio como para no darme cuenta...?
Go to the top of the page
 
+Quote Post
Visita_hackzatan_*
mensaje 25/08/2005 06:26
Publicado: #11





Visita



El problema es que no todo el mundo programa igual ;)

Salu2!!
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 25/08/2005 09:09
Publicado: #12
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



El en enunciado del reto lo deje bastante claro como para que todo el mundo haga exactamente igual el code......

Ekis nada de variables pk en ningun momento he dicho que nuestro .cgi recoje ningun nombre de variable ;)
Go to the top of the page
 
+Quote Post
R00110
mensaje 07/09/2005 00:14
Publicado: #13
Lurker




Grupo: Lurker
Mensajes: 5
Registrado: 29/08/2005
País: Chile
Ranking : 518 º/ 63.00
Avance : 4.55 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaMixSistemas OperativosEsteganografíaIngenioCiencias
Rank: ON



Tengo algunas preguntillas... me imagino que las urls del cgi y la ke debe aparecer en la barra de estado deben tener el "http://" incluido no? y... el onMouseover y el onMouse Out deben tener un "return true"?? pq si es así se necesitaria poner un espacio entre "return" y el "true" cosa que te dicen que no hagas... otra cosa... los signos como "<" ">" ";" etc... deben estar en valor hexadecimal con el formato %XX ?? o en su forma normal, tal cual son?? ...
También dijeron que los <> los reemplazaron por los [] para que no interfirieran en la web, pero esos "**" q salen en las URL que dieron fue por la misma razon no??
bueno creo q esas cosas faltaron aclarar, aunque algunas de ellas puedo considerarlas obvias, pero es que como es en md5 la respuesta, un caracter te cambia toda la cadena... bueno eso sería gracias...
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 07/09/2005 15:42
Publicado: #14
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



Claro que tiene que llevar el true como tu dijieste es bastante obvio jejej

CITA
pero esos "**" q salen en las URL que dieron fue por la misma razon no??


Lo pone en el enunciado del reto se cambarion algunas letras por **

Y si no dice que se tiene que poner caracteres en hexa esk no hay que hacerlo,solo hay que ceñirse a lo que dice el enunciado
Go to the top of the page
 
+Quote Post
R00110
mensaje 07/09/2005 18:46
Publicado: #15
Lurker




Grupo: Lurker
Mensajes: 5
Registrado: 29/08/2005
País: Chile
Ranking : 518 º/ 63.00
Avance : 4.55 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaMixSistemas OperativosEsteganografíaIngenioCiencias
Rank: ON



y eso de los "http://" en las urls del cgi y la ke debe aparecer en la barra de estado tienen que agregarse no??

bueno algo tontas las preguntas, pero prefiero asegurarme, y el que no sabe y no pregunta sencillamente no aprende :(IMG:http://www.yashira.org/style_emoticons/Yashira/rolleyes.gif) :

gracias
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 08/09/2005 01:08
Publicado: #16
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



Siempre pon http en todos lados donde vaya una URL menos en donde el reto ya te da la URL:

CITA
lugar de la direccion del XSS debe aparecer esta :
w*w.paginafamosisima.com/estrellas/index.html


Como ves el enunciado lo deja bastante claro ;)

Saludos!
Go to the top of the page
 
+Quote Post
Visita_APUROMAFO_*
mensaje 10/11/2005 23:18
Publicado: #17





Visita



uff..va a tar ...con mxo tiempo..reuniendo..los pedazitos...
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 10/11/2005 23:22
Publicado: #18
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



No es tan dificil como parece :P........lo que asusta kizas el enunciado pero es necesario para que kede bien entendido jeje ;)
Go to the top of the page
 
+Quote Post
Visita_APUROMAFO_*
mensaje 10/11/2005 23:26
Publicado: #19





Visita



sip en eso stoy..
Go to the top of the page
 
+Quote Post
Lot
mensaje 10/02/2006 10:07
Publicado: #20
Novato++
**



Grupo: Miembro
Mensajes: 38
Registrado: 25/01/2006
País: España
Ranking : 47 º/ 356.35
Avance : 25.76 %
All Stars
Lenguajes Diseño WebSeguridadIngeniería InversaCrackingCriptografiaLenguajes de ProgramaciónMixMisiones ImposiblesSistemas OperativosEsteganografíaIngenioCiencias
Especialidad: Lord of Orkney
Rank: ON



En la url del bug aparece:
h**p://www.paginafamosisima.com/estrellas/?ID=DIOS&target=http://www.paginafamosisima.com/ estrellas/?ID=DIOS&target=][script][XSS][/script]

El corchete en negrita es un error o hay que incluirlo como >?

También hay un espacio antes del segundo "estrellas", hay que incluirlo o es un error?

Cada vez me surgen más dudas:

Por lo que entiendo hay que encriptar en md5 todo el html, no sólo el tag <a></a>. En tal caso acaba como </html> o con un salto de línea?

También veo que hay diferentes formas de codificar lo mismo con javascript, por ejemplo para hacer referencia a la url actual:
window.location
window.location.href
document.location
document.location.href

(Espero no estar diciendo demasiado)

Mensaje modificado por Lot el 10/02/2006 10:33
Go to the top of the page
 
+Quote Post
Phantom Lord
mensaje 12/02/2006 03:29
Publicado: #21
Lurker




Grupo: Lurker
Mensajes: 2
Registrado: 15/02/2005
Desde: Argentina
País: Argentina
Ranking : 622 º/ 50.90
Avance : 3.68 %
All Stars
Lenguajes Diseño WebSeguridadCrackingCriptografiaMixMisiones ImposiblesSistemas OperativosEsteganografía
Especialidad: Hardware / Hack /
Rank: ON



La verdad qeu es muy confuso el reto , me esta haciendo renegar bastante.

salu2
Go to the top of the page
 
+Quote Post
g30rg3_x
mensaje 12/02/2006 07:27
Publicado: #22
SysAdmin
*****



Grupo: Admin Retirado
Mensajes: 396
Registrado: 29/01/2005
Desde: /mexico/yucatan/merida
País: México
Especialidad: Hechar la hueva
Comunidad: Yashira.org
Rank: OFF



al igual que phatom, yo opino que este reto es muy confuso y largo ya que exige estar un buen rato libre leyendo todo el enunciado y tratando de programar como lo hace alex...

saludos
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 12/02/2006 12:50
Publicado: #23
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



No lo querran todo facil,no? yo no tengo problema es ayudar o dar soporte sobre los retos xss k puse ya sea por msn o privado.....no es mi culpa si estan acostumbrado a retos faciles ;),el enunciado es largo porque lo explica todo bien...si lo pusiese mas corto no se podria pasar

CITA("Lot")
Por lo que entiendo hay que encriptar en md5 todo el html, no sólo el tag <a></a>. En tal caso acaba como </html> o con un salto de línea?

También veo que hay diferentes formas de codificar lo mismo con javascript, por ejemplo para hacer referencia a la url actual:
window.location
window.location.href
document.location
document.location.href


1.-No tenemos que poner etiquetas br ni p ni center ni nada de eso,solo un simple enlace que sera el que nos de la cookie.

OSEA NO HAY SALTOS DE LINEA (si sabes html lo sacabas en 1seg) terminalo en </html>

*Nota: He cambiado los <> por [] para que no afecten al text del reto

OSEA YO LOS HE CAMBIADO PARA QUE NO AFECTE PERO SI TE ESTOY PIDIENDO QUE HAGAS UN HTML LOGICAMENTE QUIERO QUE LOS PONGAS COMO <>

*Nota 4 : el orden de los onmouse debe de ser onMouseover y onMouseOut (escritor tal y como estan aquí)

OSEA QUIERO QUE PARA HACER REFERENCIA USES ESO

Se tomaran tiempo para leer bien........no tengo problemas en explicar dudas que yo haya olvidado o no esten explicadas....pero si esta todo en el reto.......hubo gente que me lo paso sin siquiera preguntarme nada,de todas maneras si tienen dudas o lo postean aqui o por mp o por msn como quieran

NO AYUDO EN RETOS,ESTE ES UNA EXPECION PK ES ESPECIAL
Go to the top of the page
 
+Quote Post
g30rg3_x
mensaje 13/02/2006 17:40
Publicado: #24
SysAdmin
*****



Grupo: Admin Retirado
Mensajes: 396
Registrado: 29/01/2005
Desde: /mexico/yucatan/merida
País: México
Especialidad: Hechar la hueva
Comunidad: Yashira.org
Rank: OFF



hehehe no seas lloron :P, yo solo digo que esta largo apenas empiezas a leer a menos de la mitad y ya te entro la weba xDDD
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 13/02/2006 18:13
Publicado: #25
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



Ya pero sino lo dejo bien explicado luego me diran que el reto o tiene mala presentacion o no se entiende etc.......etc......... :HappyDance: ,asi que prefiero que se quejen de que da weba leer ^_^
Go to the top of the page
 
+Quote Post
Visita_APUROMAFO_*
mensaje 15/09/2006 03:11
Publicado: #26





Visita



con paciencia sale..
ya veran como lo logran..
Go to the top of the page
 
+Quote Post
Visita_APUROMAFO_*
mensaje 15/09/2006 03:12
Publicado: #27





Visita



jaj ya paso el tiempo..y ninguno dijo si lo paso..o nop. jej
que locura..estar reviviendo post no me di cuenta de la fecha jaja
/delete
Go to the top of the page
 
+Quote Post
Thor
mensaje 10/01/2007 22:36
Publicado: #28
Lurker




Grupo: Lurker
Mensajes: 3
Registrado: 24/10/2005
País: España
Ranking : 286 º/ 105.06
Avance : 7.59 %
All Stars
Lenguajes Diseño WebSeguridadCrackingLenguajes de ProgramaciónMixSistemas OperativosEsteganografía
Especialidad: Ninguna
Rank: ON



Hay algunas cosas que pueden variar y teniendo en cuenta que se usa el hash md5 para validar...pues o tienes mucha paciencia probando combinaciones o te desesperas como yo.
Así que voy a preguntar algunas cosas:
En enlace tiene que ir en el body pero...¿cuantos saltos de linea hay desde el body al enlace? ¿2?:
CÓDIGO
<body>


enlace


</body>

ó 1 solo. Ya la paranoia sería ¿y si usamos un editor en linux? Sabemos que los saltos de linea son diferentes en windows que en linux y md5 nos pasará factura :D

¿Todas las operaciones que usemos en javascript irán seguidas de punto y coma?
Estas dos serian equivalentes:
CÓDIGO
<script>alert('yhasira')</script>
<script>alert('yhasira');</script>


CITA(Alexhk_23 @ Sep 8 2005, 01:08 AM) *
Siempre pon http en todos lados donde vaya una URL menos en donde el reto ya te da la URL:
Como ves el enunciado lo deja bastante claro ;)
Saludos!

El reto da dos URL's sin http:// pero me da que una de ellas tiene que llevar http por la fuerza suprema del señor javascript.

Que yo cuente son 5 partes variables, 5^2=25 variantes tendría que hacer del hml para que despues me halla confundido en otra cosa :D.

Sin contar la duda que antes preguntaban, ¿cual de ellas usar?
CITA
window.location
window.location.href
document.location
document.location.href

Aquí supongo que el mas usado y conocido por todos.

Les pido un poco de ayuda.
Saludos y muy bueno estos retos ;)
Go to the top of the page
 
+Quote Post
Alexhk_23
mensaje 11/01/2007 18:35
Publicado: #29
<3 anIme ^^
***



Grupo: Admin Retirado
Mensajes: 169
Registrado: 22/08/2003
Desde: Who Knows??
País: España
Especialidad: Urban Hackz
Comunidad: Yashira.org
Rank: OFF



Tal y como dice el reto no se usan saltos de linea..........mira una vez que tengas algo que tu creas correcto enviamelo por MP y lo compruebo. :good:
Go to the top of the page
 
+Quote Post
dapaf
mensaje 24/02/2007 17:41
Publicado: #30
Novato
*



Grupo: Miembro
Mensajes: 17
Registrado: 18/10/2005
País: Argentina
Comunidad: Yashira.org
Rank: OFF



A ver si me aclaro, el cgi es el encargado de robar la cookie? yo solo debo falsear el link? la verdad no entiendo muy bien lo que tengo que hacer, jeje, soy muy burro sorry ;)

Saludos
Go to the top of the page
 
+Quote Post

2 Páginas: V   1 2 >
Reply to this topicStart new topic
3 usuario(s) está(n) leyendo esta discusión (3 invitado(s) y 0 usuario(s) anónimo(s))
0 miembro(s):

 

RSS Versión Lo-Fi Fecha y Hora actual: 19/03/2024 10:38