Test Foro de elhacker.net SMF 2.1

Hola a todos,

  Ando finalizando mi proyecto fin de carrera en seguridad en Web 2.0 el cual incluye el desarrollo de un pequeño site del tipo red social. Ahora mismo tengo la beta publicada, y la idea es atacarlo y realizar una nueva version mejorando la seguridad.

  Sentios libres de experimentar con hackw20.tk (http://hackw20.tk/) y por favor, documentad vuestros ataques y posteadlos aqui o al email del administrador. Cualquier sugerencia de cualquier tipo es bienvenida (pero preferiblemente sobre aspectos de seguridad, ya se que la funcionalidad del sitio es muy pobre  )

Gracias de antemano. Nos vemos por aqui.

http://80.34.108.239/hackw20/application/user_management/login.php?msg=%3Ch1%3Easd

xd
con eso solo no podemo hacer nada che ?¿

Bueno, supongo que puedes forzar la escritura de cualquier mensaje de error, pero eso no es ningun problema de seguridad, ¿no?. Tomo nota de la sugerencia de todos modos.

Gracias, un saludo.

http://80.34.108.239/hackw20/application/user_management/login.php?msg=%3Cscript%3Ealert(document.cookie)%3C/script%3E

xss...
mmmmmmmm

Si me ilustras un poco te lo agradeceria, solo veo un pop-up que muestra las cookies, pero no se hasta que punto eso puede suponer un problema, puedes inspeccionar las cookies de muchas otras maneras. Mencionas XSS, pero no veo como puedes aplicarlo aqui. Perdon si son cosas evidentes para algunos, pero no soy ningun experto en seguridad.

De cualquier modo tambien me gustaria aprender a reventar mi propia aplicacion, mas que nada para aprender, asique si teneis por ahi documentacion util, os ruego que me remitais a ella. Buscare tambien por mi cuenta.

Gracias!

http://foro.elhacker.net/tutoriales_documentacion/tutorial_ataques_xss-t32042.0.html
http://foro.elhacker.net/tutoriales_documentacion/los_poderes_secretos_de_xss_cross_site_scripting-t98324.0.html
http://es.wikipedia.org/wiki/Cross-site_scripting

saludos

Si funcionara, intentaria hacer algo

"Object Not Found
The requested URL '/hackw20/application/user_management/login.php' was not found on the RomPager server.

Return to last page"

Cita de: KaozC9 en 25 Julio 2010, 03:58 AM
Si funcionara, intentaria hacer algo

"Object Not Found
The requested URL '/hackw20/application/user_management/login.php' was not found on the RomPager server.

Return to last page"

WTF
si funcionara que ? ._________.

Si funcionara la página dario  ;D

Cita de: Zazú en 25 Julio 2010, 04:21 AM
Si funcionara la página dario  ;D

ahhh mira vos no entendia :P

http://80.34.108.239/hackw20/application/user_management

debe ser un local..
valla uno a saber

Es un router (P-660HW-D1) y si.. parece que es local  :o
Yo queria buscar vulns  ;D


PD:fin de carrera en seguridad en Web 2.0
Me parece que tu carrera no te sirvio de mucho, ya que ni siquiera conoces los riesgos de XSS  :silbar:

Cita de: Zazú en 25 Julio 2010, 04:41 AM
Es un router (P-660HW-D1) y si.. parece que es local  :o
Yo queria buscar vulns  ;D


PD:" fin de carrera en seguridad en Web 2.0 "
Me parece que tu carrera no te sirvio de mucho, ya que ni siquiera conoces los riesgos de XSS  y tampoco lo podes evitar :silbar:

Piensa, el xss siempre se ha considerado una vulne de bajo nivel, pero que pasa sí en ves de mostrar tu cookie simplemente se roba? Además sí tienes xss seguro tienes csrf por algún lado ñ_ñ lo mejor en web es taparse el culo para todo y nunca mirar una vulne como insignificante.

Según los expertos: "Una vulnerabilidad es tan limitada como tú quieres que sea"

tmb se puede atacar al usuario final , no siempre se debe pensar en las cookies o parecidos

Cita de: Shell Root en 25 Julio 2010, 06:36 AM
Según los expertos: "Una vulnerabilidad es tan limitada como tú quieres que sea"

+1

Hola a todos de nuevo, gracias por el interes.

Ahora mismo el servidor esta caido, porque la verdad es que algunos se han tomado mucho entusiasmo en esto de reventarlo (esa era la idea, por otra parte), y bueno, tengo que ver que es todo lo que se ha hecho, reproducirlo, desarrollar una nueva iteracion, y pasaremos al segundo asalto (^_^)

Espero no tardar demasiado, gracias de nuevo. Saludos!

Estamos para ayudar, la proxima ves si podes y queres mandame un pm cuando lo postees  :silbar:, gracias. 

aaaah queria entrar pero esta offline xDD

Cita de: WHK en  8 Agosto 2010, 04:51 AM
aaaah queria entrar pero esta offline xDD

Sera por esto...   :xD

Cita de: Danielyyo en 25 Julio 2010, 11:14 AM
Ahora mismo el servidor esta caido, porque la verdad es que algunos se han tomado mucho entusiasmo en esto de reventarlo.

Hola a todos, ya estamos de nuevo por aqui, podeis seguir usando la aplicacion para practicas.

No ha evolucionado absolutamente nada, lo que he estado haciendo es asegurar el router, que alguien se cepillo por exceso de entusiasmo, recordad que una de las pocas condiciones de uso que hay es no se puede sobrepasar el ambito de la aplicacion.

  Lo que se ha encontrado hasta ahora es inyeccion de HTML y javascript, lo cual habilitaria XSS, phishing, y session hijacking, al menos en el board de comentarios de los usuarios (lo comento por si alguien quiere hacer practicas sobre vulnerabilidades conocidas)

  Creo que solo queda comentar, que por favor, reporteis lo que encontreis, tanto mejor cuanto mas documentado. Gracias.

Saludos!

Pufff... Esta hecha un cristo... xD

Solo he ojeado, pero a parte de los tropocientos XSS y CSRF. Hay varias Blind SQLi... Ciertamente no creo que haya ni un solo input vigilado, y además parece que hay algún problema en el control de permisos para poner mensajes en los tablones.

No he explotado los sqli, pero de entrada el usuario corre con más privilegios de los que debería.

Y no documento nada porque me huele a que ese debería ser tu trabajo! ¬¬

CitarPowered by PHP Login Script v2.0

hay que registrarse o atacar ese script?

Pufff, muchísimos XSS, algunos persistentes. También hay XSRF y usurpación de identidad. Por cierto, en cuanto a lo del XSS una falla de bajo nivel... ja! [modeIronic=ON]tan poco potente como javascript, VBScript, ActionScript, etc...[modeIronic=OFF]

Saludos!

192.168.249.1

;D


192.168.1.36

Haha,

buena, a tiempo lo ha cortado :P

xss por donde sea... Por alguna extraña razon me muestra un error de SQL cuando escribo un inocente comentario del tipo:

Holi'--

no se porque xDDDDD

Tienes XSS hasta en los XSS. Le pusiste algo de Seguridad? Si aun no esta listo por favor avisanos cuando lo este ¬¬

Y personaliza tus errores...


Error 404
¡Objeto no encontrado!

El enlace requerido no ha sido localizado en este servidor. Si usted proporcionó el enlace de manera manual le solicitamos que por favor revise los datos e intentelo de nuevo.

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 404
80.34.108.239
Thu 19 Aug 2010 06:10:08 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403
¡Acceso prohibido!

Usted no tiene permiso para acceder a la dirección solicitada. Existe la posibilidad de que el directorio este protegido contra lectura o que no exista la documentación requerida.

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 403
80.34.108.239
Thu 19 Aug 2010 06:10:59 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403 2.0 xD
Acceso prohibido!


XAMPP nuevo concepto de seguridad:

El acceso a la solicitada directorio sólo está disponible desde la red local.

Este ajuste puede ser configurado en el archivo "httpd-xampp.conf".


Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor.
Error 403
80.34.108.239
Thu 19 Aug 2010 06:11:22 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

En este ultimo te dice como hacerlo ;)

Pues

CitarError **: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

:¬¬


No es cuestion de poner mas porque ayer en pleno ataque, me cortaron las alas en cuanto estaba posteando :D

En el titulo de los mensajes o en el body (una vez te haces una cuenta) se puede poner esto a base de XSS:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>


Ademas, puedes *** la cuenta a otras personas pues interceptando con un Proxy local la peticion esta y cambiando el argumento "argv2="tu_nick" por la de otro nick. Algo lame seria poner lo mismo o un
<ScRiPt> while(1)alert("You are adviced!");</ScRiPt>


Saludos que sigo echando la siesta (hehe, hoy han caido 4 horazas de siesta, viva la vida Española !)


Ah, y modificando el innerHTML no haras deface a la page, solo cuando loguees en tu cuenta, por eso lo mejor seria hacerselo tambien a otro miembro pues interceptando con el proxy y cambiando el msg por lo que se expone..



/* MOD */

Es bien facil hacerselo a un "friend" y que no te ocurra  ti, el defacearle la cuenta a otro "friend" digo.
Interceptais con un Proxy la peticion para poner un mensaje en vuestro propia cuenta. En el momento de mandar, el Proxy intercepta. Ahi, a lo primero se cambia en la requesta:
GET http://80.34.108.239/hackw20/application/services/profile/profile.php?arg2=otronick

En el Referer tambien cambiad vuestro nick por el del otro por si las moscas (por cada peticion) y en el javascript de redireccion que se nos muestra en una de las respuestas dejad solo la variable arg2 con el otro nick. Asi defaceais la otra cuenta y no la vuestra.

Por supuesto desde el principio lo que se tiene que hacer es desde la cuenta propia, ir como a postear un mensaje. En el cuerpo del mensaje iria por ejemplo:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>

y ya despues pues lo que he comentado interceptando con el proxy.


Ah al user "tesean" le defacee la cuenta asi, como todo esto es un test gratuito y no tiene mucha relevancia no me he preocupado claro. Lo mismo para el user "pimpim", que imagino que sera lo mismo.

yo creo que nos estan usando para testear su script, ponerle mas funciones y quien sabe el futuro.

@averno, valiente sin verguenza... xD Tienes suerte de que no vuelva a entrar, sino nos veriamos las caras! ;)

@ cgvwzq:

no por favor ! Yo soy inocente y buena persona !

Hehe, lo unico que crei que esas cuentas eran para testear, que no las habia registrado nadie de nosotros.


Saludos.


 /* MOD */

Si pueden vean al user que me he hecho "Maniac" y "Spoiler", visiten su perfil una vez logueados no tiene desperdicio :D

Lo mismo se lo podria hacer con la tecnica del proxy, pero a otros users en vez de a mi pero como que se me acaban los amigos   -.-'