Hackea a Elhacker.net ! [Finalizado - Ganador: yasión]

Iniciado por WHK, 23 Noviembre 2009, 09:06 AM

0 Miembros y 2 Visitantes están viendo este tema.

WHK

Bueno, me pude conseguir 8 puntos para warzone con sirdarckcat para regalarselos al primero que llegue acá posteando un XSS pero ojo, no es cualquier XSS....

Actualmente hay un XSS en el foro y es ejecutable para visitantes o sea que no necesito ser admin ni moderador ni nada para ver este XSS. Este XSS es permanente (ver el diccionario que está con chincheta) y por lo tanto pueden escribir el xss a vista de todo público.

El primero que encuentre este XSS en el foro se llevará los 8 puntos para WarZone (http://warzone.lehacker.net/ )

Esta prueba se excluyen todos los usuarios que tengan privilegios mayores a un usuarioo normal, o sea que no participan los colaboradores ni moderadores ni nada de nada, solo usuarios común y corrientes como tu que estás leyendo.
Tampoco pueden participar los que tengan acceso a leer el tracker de simpleaudit.

El primero que postee el XSS se lleva los 8 puntos!!!! y debe explicar porque es un xss y porque se produce o por lo menos explicar como se explota. La idea es que no pueda venir alguien haciendo copy paste de algún otro lado.

Si alguien hace trampas será sancionado con aceite hirviendo y se les hecharán a los perros que elbrujo tiene guardado para casos como este.

SOLO EL PRIMERO!!!!! y no hay pistasss muahahahha xD
El dia 30 de este mes se enviará el tracker de vulnerabilidades de smf a full disclosure asi que no podrá pasar de esa fecha.



Martin-Ph03n1X

el primer y unico error es que es ejecutado con un error de ortografia y es explotado a los tontos como yo que dan click (http://warzone.lehacker.net/ ) que esta cambiado por el original warzone.elhacker.net....

ya tengo mis 8 puntos? ya me gane mi gorra?
  No eres tu trabajo, no eres cuanto tienes en el banco, no eres el auto que conduces, ni el contenido en tu billetera, no eres tus malditos cakis, eres el bailarin cantante del mundo...!!!"

jdc

La vulnerabilidad esta en foro.elhacker.net o en cualquier parte de elhacker.net?

kamsky

si es lo que yo pienso, es en el foro, primera pista dada...  :-X
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

[Decoded]


WHK

Me autocito:
CitarActualmente hay un XSS en el foro y es ejecutable para visitantes o sea que no necesito ser admin ni moderador ni nada para ver este XSS. Este XSS es permanente (ver el diccionario que está con chincheta) y por lo tanto pueden escribir el xss a vista de todo público.

Es solo válido en el foro! y no se vale en el panel de administración y esas cosas porque ahi está plagado de xss, la idea de este xss que deben encontrar es uno que puedes hacer que todos puedan verlo y ejecutarlo sin tener privilegios de ninguna forma.

Si demuestras como ejecutarlo te llevas los 8 puntos.

Cita de: [Decoded] en 23 Noviembre 2009, 16:36 PM
detectabot.php
Ese es un script para evitar los bots que entran con internet explorer pero no significa que sea XSS, de todas formas puedes buscarle pero el bug está en simplemachines 1.1.10  :-X.
Yaaaaaaaa!!! no doy mas pistas xD

Azielito

podrias decirnos el vector afectado? :xD!!!

WHK

nuu que busquen en el código fuente xD igual son 8 puntos, eso ya es bastante, ni una prueba elite te da tantos puntos

Skeletron

Jamas voy a enteder como un XSS puede ser permanente..

Vamos a buscar un poquito..