[Finalizado] Hackea a elhacker.net v2.0 (ganador: yoya)

Iniciado por WHK, 3 Febrero 2012, 14:12 PM

0 Miembros y 1 Visitante están viendo este tema.

p0is0n-123

#80
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

p0is0n-123

Primeramente, gracias WHK;D
Claramente la única forma que veo (y estoy bastante ciego parece) es como Yoya está haciendo actualmente. Carga la imagen como php y debe de obtener por ahí el token.
Llevo rato mirando y ni en el referer (obviamente ya que no va por get :-x) ni tampoco se le llegan a pasar datos por post a la imagen que se carga  :¬¬

@Yoya: Por lo que he leído casi lo tienes, solo te falta lo del referer. ¡Ánimo!  ;-)

Un saludo a todos :p
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

MrPoor

En Firefox, se puede no enviar el referer si nos vamos a la barra de direcciones y ponenos about:config

Entonces buscamos "referer" con CTRL+F que tendrá normalmente un valor 2, y lo ponemos a 0 y ya nos dejará enviar el formuario desde un servidor externo.

Falta solo robar el SC.

network.http.sendRefererHeader;0
Mpoor es de super guay

p0is0n-123

Obtener el sc es lo más complicado para mi, primero pensé e un iframe... pero rápidamente lo descarté porque no se mantendría la cookie y sería un lio.
Hay que obtenerlo como Yoya, con la imagen. Pero todavía no entiendo de dónde sale si al cargar la "imagen" no se envía de ninguna forma.  :o

Un saludo!!
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net

MrPoor

Cita de: p0is0n-123 en 15 Febrero 2012, 00:07 AM
Obtener el sc es lo más complicado para mi, primero pensé e un iframe... pero rápidamente lo descarté porque no se mantendría la cookie y sería un lio.
Hay que obtenerlo como Yoya, con la imagen. Pero todavía no entiendo de dónde sale si al cargar la "imagen" no se envía de ninguna forma.  :o

Un saludo!!

Exacto,

tiene que ser algo de esto:
http://blog.quaji.com/2009/12/out-of-context-information-disclosure.html
Mpoor es de super guay

jdc

Con la imagen se puede conseguir el sc pero tiene qu citar o tener la respuesta rápida activada, en realidad no recuerdo bien ñ_ñ la verdad es que prefiero darme por vencido xD no tengo mucho tiempo u.u había pensado respecto al referer probar con algo como elhacker.net.midominio.com o midominio.com/elhacker.net (con foro siempre ya que el referer tendría que spoofearse desde aquí) claro, son sólo ideas xD o pistas si no me equivoco por mucho jajajaja no puedo revisar  el código de SMF u.u joya, espero que te sirva algo para que juankees a ese tal WHK xD alias elputoamo ñ_ñ

jdc

Aps y la imagen recoge el referer a su vez :p si por ejemplo respondo fíjense que es algo tipo /responder.php?sc=evitamoscsrfconestecodigosuperguqy

Si me manda desde la respuesta a mi imagen ya capture el referer y con el el sc, claro como estoy oxidado quizás sólo sean patrañas lo que digo xD igual ese "bug" es viejo, pero sirve para algo más grande como esto!

p0is0n-123

@MrPoor: Sí y no :p Por POST no se envía nada a la imagen :) Para evadir el referer en el formulario casero se pueden conectar usando una librería de javascript.  >:D

Como dicen arriba, se obtiene por el referer... pero todavía tengo que hacer más pruebas...

@Yoya: Lo que necesites avisa, si te puedo ayudar claro.

¡Ánimo a todos!  ;-)
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net


p0is0n-123

#89
Ya tengo el token del sesión id con mi famosa imagen también, voy a ver si puedo acabar el resto de cosas para cerrarme sesión y pego un update de como lo llevo :)

Edito: Ya tengo aislado el token y ya he conseguido hacer el logout para cerrar sesiones con html y javascript!!  :laugh:
Lo dificil va a ser que pollo09 caiga (?)

Un saludo!!!
Blog técnico dedicado a la seguridad informática y al estudio de nuevas vulnerabilidades.
http://www.seginformatica.net