Hack my site

cgvwzq · 18 Agosto 2010, 22:38 PM

Pufff... Esta hecha un cristo... xD

Solo he ojeado, pero a parte de los tropocientos XSS y CSRF. Hay varias Blind SQLi... Ciertamente no creo que haya ni un solo input vigilado, y además parece que hay algún problema en el control de permisos para poner mensajes en los tablones.

No he explotado los sqli, pero de entrada el usuario corre con más privilegios de los que debería.

Y no documento nada porque me huele a que ese debería ser tu trabajo! ¬¬

bizco · 18 Agosto 2010, 23:58 PM

CitarPowered by PHP Login Script v2.0

hay que registrarse o atacar ese script?

SH4V · 19 Agosto 2010, 01:39 AM

Pufff, muchísimos XSS, algunos persistentes. También hay XSRF y usurpación de identidad. Por cierto, en cuanto a lo del XSS una falla de bajo nivel... ja! [modeIronic=ON]tan poco potente como javascript, VBScript, ActionScript, etc...[modeIronic=OFF]

Saludos!

toxeek · 19 Agosto 2010, 03:21 AM

192.168.249.1

192.168.1.36

toxeek · 19 Agosto 2010, 03:55 AM

Haha,

buena, a tiempo lo ha cortado

jdc · 19 Agosto 2010, 06:12 AM

xss por donde sea... Por alguna extraña razon me muestra un error de SQL cuando escribo un inocente comentario del tipo:

Código [Seleccionar]

Holi'--

no se porque xDDDDD

Tienes XSS hasta en los XSS. Le pusiste algo de Seguridad? Si aun no esta listo por favor avisanos cuando lo este ¬¬

Y personaliza tus errores...

Error 404

Código [Seleccionar]

¡Objeto no encontrado!

El enlace requerido no ha sido localizado en este servidor. Si usted proporcionó el enlace de manera manual le solicitamos que por favor revise los datos e intentelo de nuevo. 

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor. 
Error 404
80.34.108.239
Thu 19 Aug 2010 06:10:08 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403

Código [Seleccionar]

¡Acceso prohibido!

Usted no tiene permiso para acceder a la dirección solicitada. Existe la posibilidad de que el directorio este protegido contra lectura o que no exista la documentación requerida. 

Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor. 
Error 403
80.34.108.239
Thu 19 Aug 2010 06:10:59 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

Error 403 2.0 xD

Código [Seleccionar]

Acceso prohibido!


XAMPP nuevo concepto de seguridad:

El acceso a la solicitada directorio sólo está disponible desde la red local.

Este ajuste puede ser configurado en el archivo "httpd-xampp.conf".


Por favor contacte con el webmaster en caso de que usted crea que existe un error en el servidor. 
Error 403
80.34.108.239
Thu 19 Aug 2010 06:11:22 AM CEST
Apache/2.2.14 (Unix) DAV/2 mod_ssl/2.2.14 OpenSSL/0.9.8l PHP/5.3.1 mod_apreq2-20090110/2.7.1 mod_perl/2.0.4 Perl/v5.10.1

En este ultimo te dice como hacerlo

toxeek · 19 Agosto 2010, 13:17 PM

Pues

CitarError **: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near ''''' at line 1

No es cuestion de poner mas porque ayer en pleno ataque, me cortaron las alas en cuanto estaba posteando

toxeek · 19 Agosto 2010, 19:15 PM

En el titulo de los mensajes o en el body (una vez te haces una cuenta) se puede poner esto a base de XSS:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>

Ademas, puedes *** la cuenta a otras personas pues interceptando con un Proxy local la peticion esta y cambiando el argumento "argv2="tu_nick" por la de otro nick. Algo lame seria poner lo mismo o un
<ScRiPt> while(1)alert("You are adviced!");</ScRiPt>

Saludos que sigo echando la siesta (hehe, hoy han caido 4 horazas de siesta, viva la vida Española !)

Ah, y modificando el innerHTML no haras deface a la page, solo cuando loguees en tu cuenta, por eso lo mejor seria hacerselo tambien a otro miembro pues interceptando con el proxy y cambiando el msg por lo que se expone..

/* MOD */

Es bien facil hacerselo a un "friend" y que no te ocurra ti, el defacearle la cuenta a otro "friend" digo.
Interceptais con un Proxy la peticion para poner un mensaje en vuestro propia cuenta. En el momento de mandar, el Proxy intercepta. Ahi, a lo primero se cambia en la requesta:
GET http://80.34.108.239/hackw20/application/services/profile/profile.php?arg2=otronick

En el Referer tambien cambiad vuestro nick por el del otro por si las moscas (por cada peticion) y en el javascript de redireccion que se nos muestra en una de las respuestas dejad solo la variable arg2 con el otro nick. Asi defaceais la otra cuenta y no la vuestra.

Por supuesto desde el principio lo que se tiene que hacer es desde la cuenta propia, ir como a postear un mensaje. En el cuerpo del mensaje iria por ejemplo:

<ScRiPt>
document.body.innerHTML="<h1>Paga a unos testers!</h1>";
</ScRiPt>

y ya despues pues lo que he comentado interceptando con el proxy.

Ah al user "tesean" le defacee la cuenta asi, como todo esto es un test gratuito y no tiene mucha relevancia no me he preocupado claro. Lo mismo para el user "pimpim", que imagino que sera lo mismo.

bizco · 19 Agosto 2010, 20:28 PM

yo creo que nos estan usando para testear su script, ponerle mas funciones y quien sabe el futuro.

cgvwzq · 19 Agosto 2010, 22:40 PM

@averno, valiente sin verguenza... xD Tienes suerte de que no vuelva a entrar, sino nos veriamos las caras!