Post form, javascript y asp.net

Iniciado por kamtraz, 7 Septiembre 2012, 23:19 PM

0 Miembros y 1 Visitante están viendo este tema.

kamtraz

Señores/as, buenas tardes.

Estoy teniendo una duda bastante importante: tengo una pagina .aspx (usa asp 2.0) que tiene incluida una form en un script.

Estuve revisando por todas partes la pagina en cuestión, y resulta que por el lado del script, utiliza un __VIEWSTATE que no estoy consiguiendo pasar.

Poniéndolo sobre una linea de tiempo, cuando uno introduce los valores en la form, el scipt la codifica (según tengo entendido), y luego recién se envía. Brup suite me dijo que tiene MAC activado. (pido disculpas si esto es obvio, o normal, yo es la primera vez que me lo cruzo)

Intente con hydra, pero o bien no he podido configurarlo correctamente, o bien hydra solo mete los valores en bruto y no puede interactuar con el script. Quizás me equivoque

He intentado configurar también el intruder de Burp Suite, pero cuando te da los lugares para cargar las playloads solo prueba combinaciones unilaterales (par xy:00 00:xy, cuando yo necesito que pruebe todas las combinaciones).

Probe también brutus, pero muy por arriba, ya que según leí no va con este tipo de form.

Por otra parte tambien estuve revisando y cambiando los códigos en las Requests, pero no he conseguido mucho mas que cambiarle cosas como el parámetro maxlength al javascript (y lo manda bien, creo, ya que la cantidad de bytes del __VIEWSTATE incrementa cuando introduzco cadenas mas largas), o mostrar las variables que están hidden. Según tengo entendido eso podría significar una vulnerabilidad a SQL injection, pero he probado miles de cosas que he visto en los papers y nada resulta.

En definitiva, lo que necesito es obtener los usrs y pwds (HAY UNA RAZÓN VALEDERA Y LEGAL, cualquier moderador y/o usuario que la quiera saber se la puedo decir, pero es importante de verdad)

PD: Antes de pedir ayuda, leí (como buen forero) durante una semana a entre 13 y 15 hs por dia xD en muchisimos foros, pido de todas formas disculpas si la explicación a lo que intento hacer esta a la vista y se me ha pasado :S De igual forma pido disculpas si la sección del foro esta equivocada, me parecio la mas acorde (era esta, o hacking general jajaja)

Muchisimas gracias de antemano
"May the source be with you..."