Hackea a Elhacker.net ! [Finalizado - Ganador: yasión]

Iniciado por WHK, 23 Noviembre 2009, 09:06 AM

0 Miembros y 5 Visitantes están viendo este tema.

yasión

Igual hay que montar un team para auditar elhacker.net... ;D

Si lo puede hacer alguien deslogueado no creo que pueda conseguir algo persistente a no ser que cree un usuario con un XSS, y no creo que esté bién empezar a crear usuarios test123, adqwd, 12312 (más de los que ya debe haber).
Así que yo he estado probando a editar mi perfil, pero nada... Lo más probable es que se encuentre en el envio de un post!!   :rolleyes: :rolleyes: Me molan los ojos locos... :P

skapunky

Juas, solo hago un mini-aporte:

CitarDesde ahora ya trataré de no darle mas buelta al asunto hasta que alguien diga algo concreto o que se acerque como alguien que escribió una buena pista.

Eso que dice WHK nadie lo a tomado en serio, y eso que entre las 50 tonterias que se han dicho alguien involuntariamente a dado de narices con una pista. Esa persona seguramente al decir esa tonteria no se ha dado cuenta pero iva por el camíno de la razon  :xD.

Ya callo  :-X
Killtrojan Syslog v1.44: ENTRAR

Littlehorse

Dale, acaso es lo del bbcode? yo estuve probando deslogueado porque pense que cualquier visitante lo podia explotar. A probar por ese lado entonces XD
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

[Zero]

No puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes  :P. Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución  :xD.

Saludos

"El Hombre, en su orgullo, creó a Dios a su imagen y semejanza.”
Nietzsche

Castg!

para mi es como dice janito, estoy revisando TODO! ajjajaj

-Ramc-

Cita de: Hacker_Zero en 24 Noviembre 2009, 20:09 PM
No puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes  :P. Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución  :xD.

Saludos
Pero, es que permanente y deslogueado no me gusta. :xD

Ademas como invitado no se puede hacer casi nada, creo. :P

A menos que sea en las secciones de loguearse o registrarse.

Igual tengo bastante tarea en la uni y ni tengo cuenta warzone, pero, si me da por buscar algo les dejo.

Shhh... be vewy, vewy, quiet!  I'm hunting wabbits...
LA PANDILLA MAS GRANDE DE MI CIUDAD, SE LLAMA POLICIA NACIONAL.

yasión

CitarNo puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes  :P. Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución  :xD.

Que yo sepa en ningún sitio dice que pueda ser ejecutado por visitantes... Piensa que es persistente además.

-Ramc-

Cita de: yasión en 24 Noviembre 2009, 20:24 PM
CitarNo puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes  :P. Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución  :xD.

Que yo sepa en ningún sitio dice que pueda ser ejecutado por visitantes... Piensa que es persistente además.
Eso mismo pensé, pero, como no he leido todo. :P
Pensé que si podía ser ejecutado por visitantes, aunque no parece lógico.

Shhh... be vewy, vewy, quiet!  I'm hunting wabbits...
LA PANDILLA MAS GRANDE DE MI CIUDAD, SE LLAMA POLICIA NACIONAL.

Littlehorse

A lo que se refiere WHK al principio es que los visitantes pueden visualizarlo/ejecutarlo, y creo que eso se ha malinterpretado en que los visitantes pueden explotar la vulnerabilidad. Lo veo poco posible lograr algo deslogueado.

Tengo bastante intriga, ojala alguien lo descubra pronto. ;D
An expert is a man who has made all the mistakes which can be made, in a very narrow field.

дٳŦ٭

Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD


Con sangre andaluza :)