Hackea a Elhacker.net ! [Finalizado - Ganador: yasión]

yasión · 24 Noviembre 2009, 19:29 PM

Igual hay que montar un team para auditar elhacker.net...

Si lo puede hacer alguien deslogueado no creo que pueda conseguir algo persistente a no ser que cree un usuario con un XSS, y no creo que esté bién empezar a crear usuarios test123, adqwd, 12312 (más de los que ya debe haber).
Así que yo he estado probando a editar mi perfil, pero nada... Lo más probable es que se encuentre en el envio de un post!!

Me molan los ojos locos...

skapunky · 24 Noviembre 2009, 19:32 PM

Juas, solo hago un mini-aporte:

CitarDesde ahora ya trataré de no darle mas buelta al asunto hasta que alguien diga algo concreto o que se acerque como alguien que escribió una buena pista.

Eso que dice WHK nadie lo a tomado en serio, y eso que entre las 50 tonterias que se han dicho alguien involuntariamente a dado de narices con una pista. Esa persona seguramente al decir esa tonteria no se ha dado cuenta pero iva por el camíno de la razon

.

Ya callo

Littlehorse · 24 Noviembre 2009, 19:37 PM

Dale, acaso es lo del bbcode? yo estuve probando deslogueado porque pense que cualquier visitante lo podia explotar. A probar por ese lado entonces XD

[Zero] · 24 Noviembre 2009, 20:09 PM

No puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes

. Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución

.

Saludos

Castg! · 24 Noviembre 2009, 20:11 PM

para mi es como dice janito, estoy revisando TODO! ajjajaj

-Ramc- · 24 Noviembre 2009, 20:23 PM

Cita de: Hacker_Zero en 24 Noviembre 2009, 20:09 PM
No puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes . Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución .

Saludos

Pero, es que permanente y deslogueado no me gusta.

Ademas como invitado no se puede hacer casi nada, creo.

A menos que sea en las secciones de loguearse o registrarse.

Igual tengo bastante tarea en la uni y ni tengo cuenta warzone, pero, si me da por buscar algo les dejo.

yasión · 24 Noviembre 2009, 20:24 PM

CitarNo puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes . Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución .

Que yo sepa en ningún sitio dice que pueda ser ejecutado por visitantes... Piensa que es persistente además.

-Ramc- · 24 Noviembre 2009, 20:27 PM

Cita de: yasión en 24 Noviembre 2009, 20:24 PM
CitarNo puede ser lo de bbcode porque dijeron que podía se ejecutado por visitantes . Tal vez el botoncito ese de "Ir", ni idea, estaré atento a ver cual es la solución .

Que yo sepa en ningún sitio dice que pueda ser ejecutado por visitantes... Piensa que es persistente además.

Eso mismo pensé, pero, como no he leido todo.

Pensé que si podía ser ejecutado por visitantes, aunque no parece lógico.

Littlehorse · 24 Noviembre 2009, 20:27 PM

A lo que se refiere WHK al principio es que los visitantes pueden visualizarlo/ejecutarlo, y creo que eso se ha malinterpretado en que los visitantes pueden explotar la vulnerabilidad. Lo veo poco posible lograr algo deslogueado.

Tengo bastante intriga, ojala alguien lo descubra pronto.

дٳ⁪⁪⁪⁪⁪⁪⁪Ŧ٭ · 24 Noviembre 2009, 20:33 PM

Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD