[Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)

Iniciado por WHK, 3 Febrero 2012, 14:12 PM

0 Miembros y 3 Visitantes están viendo este tema.

raul338


echuche

Perdonen mi ingenuidad , para que sirve el image.php?
eChuche---

h3ct0r

#112
Cita de: h3ct0r en 15 Febrero 2012, 21:06 PM
Test! :silbar:

Cita de: echuche en 16 Febrero 2012, 14:04 PM
Perdonen mi ingenuidad , para que sirve el image.php?

Para agarrar el token del usuario por el referer
[img[/img]

h3ct0r

#113
--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!


Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!
;D
[img[/img]

pollo9

Cita de: h3ct0r en 16 Febrero 2012, 17:01 PM
--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!


Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!
;D


Yo quiero jugarrr!!!!

El video de p0is0n-123 está bueno, de hecho el formulario via mail es una de las tres posibilidades para enviar la petición evitando el referer actualizando el perfil, como ya han descubierto smf no checkea que el referer sea válido siempre sino que solo cuando lo hay, o sea que si enviamos un formulario sin referer se ejecuta el csrf, asi que no es necesario que el formulario sea enviado directamente desde el foro.

Asi que teniendo el token de seguridad y evitando el referer deberian ser capaces de ejecutar el csrf.

El problema del video es que nadie te va a descargar un html para abrir un enlace, eso es un fail xD, estubiste 99% cerca de lograrlo pero no debes permitir que se descargue el archivo, vee una solución mas normal, prueba con otros clientes de correos, vee outllook, gmail, hotmail, yahoo, no se, alguno que no te pida descargar algo para que te lleve al enlace ya que o si no tendrias que recurrir a la ingeniería social y ya no sería csrf puro.

Jugando con h3ct0r... :)
Ultra anti-0wneable! ??? - Hacked by Yoyahack!!!!!

pollo9

Hector, no me ha llegado el enlace de mi juego joder! :(
Ultra anti-0wneable! ??? - Hacked by Yoyahack!!!!!

h3ct0r

Cita de: pollo9 en 16 Febrero 2012, 17:46 PM
Hector, no me ha llegado el enlace de mi juego joder! :(

jajaja Me da mucha pena decirlo pero vas a tener que volver a citar el mensaje! Nuestro servidor peto en ultimo momento y no se pudo almacenar tu peticion :(

Esto en un real life es intolerable !!!  :( :( :(  :-[ :-(
[img[/img]

~ Yoya ~

#117


Ya lo logreeeeeeeeeeee!!!! xD.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

~ Yoya ~

#118

Esperar q el pollo conecte xD
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

pollo9

Cita de: h3ct0r en 16 Febrero 2012, 17:01 PM
--------------------------------------------------------------------
Atencion a todos los POLLOS!!
Regalamos cuentas de email a el JUAQKER.NOT si participas en nuestro juego online!!

Para participar tienes que citar este mensaje y recibiras en tu inbox un correo con un link para el juego!


Not Scam, not Spam!
No te olvides de citar tambien la imagen!
Solo juega y gana!
;D


Re-cintando... h3ct0r estaba primero que yoya... quiero mi juego! :D
Ultra anti-0wneable! ??? - Hacked by Yoyahack!!!!!