[Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)

Iniciado por WHK, 3 Febrero 2012, 14:12 PM

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Acciones del Usuario

dont'Exist

#70
12 Febrero 2012, 06:25 AM
Recién le doy bola a este post...  :P

Para cuando lo consiga hacer, me va a costar explicarlo porque así de duro soy para la pedagogía. Pero una buena "verseada" le pegaré.


;D

Abakus

#71
12 Febrero 2012, 19:06 PM
Cita de: WHK en 12 Febrero 2012, 04:36 AM
Hay tres formas de hacer una peticion get y Post hacia un host evadiendo el referer, no dare mas pistas  :P , estan omitiendo un dato super importante

De esas formas, hay alguna en la que no se necesite la cookie?
    bakus

WHK

#72
12 Febrero 2012, 22:02 PM Ultima modificación: 12 Febrero 2012, 22:06 PM por WHK
Es un csrf, no necesitas cookies.

Si doy mas pistas entonces les estaría revelando el bug y no sería merito propio, asi que como podriamos ponerlos en el blog y en el boletin mensual si yo les doy las pistas?

WHK

#73
13 Febrero 2012, 14:21 PM
SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.

MrPoor

#74
13 Febrero 2012, 15:27 PM Ultima modificación: 13 Febrero 2012, 15:30 PM por MrPoor
Cita de: WHK en 13 Febrero 2012, 14:21 PM
SMF no verifica que el referer sea correcto, si le dan un vistazo al código fuente verán que solo verifica que el referer no sea un enlace externo solamente, eso quiere decir que..... [censurado]

Que pasa al utilizar https://www.google.cl/ ? han visto live headers cuando hacen busquedas desde google?

Con esas dos pistas les estoy regalando el bug.

Ya que lo has dicho tú WHK,  a mi me extraña mucho que YoYa no lo consiga, si ya tiene el SC que es yo creo lo más difícil y lo que a mi me falta.

Yo he probado el formulario aislado que está en una página de este de este mismo hilo por otro usuario, estando conectado yo  al foro me cambia la firma.

Por lo que enviado un enlace a WHK o poniéndolo como avatar como ha hecho YoYa, con eso debería cambiar la firma.

Eso sí, si pongo la página con el formulario -dentro- de un servidor local o externo no funciona (envía referer y SMF lo detecta), pero si la pongo por ejemplo con un HTML simple, digamos en el escritorio entonces cambia la firma.

Creo que eso es lo que quieres decir.

Con esto al menos YoYa debería tener suficiente.

:D
Mpoor es de super guay

MrPoor

#75
13 Febrero 2012, 15:29 PM
De hecho en mi firma se ven intentos del cambio de firma :D
Mpoor es de super guay

~ Yoya ~

#76
14 Febrero 2012, 00:59 AM Ultima modificación: 14 Febrero 2012, 01:04 AM por ~ Yoya ~
Hoy recién termine algo que podía ser con una chica jejeje, no porque mañana sea 14 jejejeje.

No he tenido tiempo para poder testear, desde mi ultimo post (11 de febrero). Mañana tratare de dedicarle 1-2h para ver si avanzo un poco xD.

Saludos y suerte a todos.
Mi madre me dijo que estoy destinado a ser pobre toda la vida.
Engineering is the art of balancing the benefits and drawbacks of any approach.

zaphire

#77
14 Febrero 2012, 12:40 PM
PRUEBA
añlskdfñqwiejfñalksjndvpiqouwenfhñqwjkef

WHK

#78
14 Febrero 2012, 17:48 PM
El GatoPollo les manda ánimo! :D

p0is0n-123

#79
14 Febrero 2012, 19:11 PM Ultima modificación: 15 Febrero 2012, 17:48 PM por p0is0n-123

Probando...
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net
Imprimir
Ir Arriba Páginas 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15
Acciones del Usuario