Hackea a Elhacker.net ! [Finalizado - Ganador: yasión]

jdc · 24 Noviembre 2009, 20:54 PM

"><script>alert('aqui no esta el xss')</script>

SeC · 24 Noviembre 2009, 20:58 PM

Cita de: janito24 en 24 Noviembre 2009, 20:54 PM
"><script>alert('aqui no esta el xss')</script>

jwauawjwuaa, quiero esos 8 puntoooos!!

Mejor sigo trasteando en el código

.

Suerte.

Skeletron · 24 Noviembre 2009, 21:01 PM

Cita de: дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭ en 24 Noviembre 2009, 20:33 PM
Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD

Lo que yo sé, es que éste usuario, que le acabo de citar lo que dijo, cuando anda en un POST, arriba donde dice: "Viendo este tema: xxx, xxxxx, xxx" se deforma.. o sea, su nick, al tener algun comando extraño, deforma ese texto... veanlo ustedes mismos...
(yo lo vi cuando habia 1 visitante oculto, y en el "+" del +1 oculto, se deformaba todo.. con los parentesis que aparecen, porque la palabra OCULTO aparece entre parentesis...)

Para mi, puede estar por ahí..

jdc · 24 Noviembre 2009, 21:31 PM

mmm en el nick aparentemente tampoco esta ¬¬

-Ramc- · 24 Noviembre 2009, 21:37 PM

Cita de: Skeletron en 24 Noviembre 2009, 21:01 PM
Cita de: дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭ en 24 Noviembre 2009, 20:33 PM
Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD

Lo que yo sé, es que éste usuario, que le acabo de citar lo que dijo, cuando anda en un POST, arriba donde dice: "Viendo este tema: xxx, xxxxx, xxx" se deforma.. o sea, su nick, al tener algun comando extraño, deforma ese texto... veanlo ustedes mismos...
(yo lo vi cuando habia 1 visitante oculto, y en el "+" del +1 oculto, se deformaba todo.. con los parentesis que aparecen, porque la palabra OCULTO aparece entre parentesis...)

Para mi, puede estar por ahí..

No creo que sea algo tan así.

Cita de: +ADw-script+AD4-alert(/janito24/)+ADsAPA-/script+AD4- en 24 Noviembre 2009, 21:31 PM
mmm en el nick aparentemente tampoco esta ¬¬

jajajajajaa

Además algún filtro ha de haber que hay que saltar, yo voy mirar un rato lo del bbc, antes de irme a clases.

BrokenWindow · 24 Noviembre 2009, 21:57 PM

Cita de: /'><script>alert(janito24)</script> en 24 Noviembre 2009, 21:31 PM
mmm en el nick aparentemente tampoco esta ¬¬

Te faltaron las comillas en la cadena del alert()

Saludos

Castg! · 24 Noviembre 2009, 22:00 PM

pero al verlo en el codigo fuente, se ve remplazado el caracter ">" por ">". suerte! vamos por mas CARAJO!

yasión · 24 Noviembre 2009, 23:10 PM

Bah ya me cansé...xD Ahí va la mejor idea que tuve, que igual no tiene ni sentido pero... Trata en meter un bbcode que no parsee las " dentro de un bbcode tipo url para escaparlo y poder meterle un evento js, pero nanai...

Luego seguiré trabajando la idea...xD Lo dejo por si le sirve a alguien:

[url="[quote author=" onerror=alert(5)][/quote]]clik[/url]

La idea era que el quote se convirtiera en un:

Cita de: " onerror=alert(5)

y despues se tratará la url...xD Pero el url se cierra con el primer ] que encuentra así que tendré que probar otra cosa...

Va a ser que tocará esperar al domingo para entender bién esto...xD

jdc · 25 Noviembre 2009, 01:19 AM

También lo probé con las comillas en el alert y no funciona

también lo probé normal, este nick quedó así después de ponerlo como html

Hay que ver que dice WHK sí se puede meter como visitante o necesariamente debes estar como usuario por lo menos.

De todas maneras insisto en que el xss debe estar abajo cerca del combo, sólo estoy jugando.

Castg! · 25 Noviembre 2009, 01:27 AM

janito! que combo desis? tipo "Seguridad informatica?" ajajj. ya me volvi loco.