Hackea a Elhacker.net ! [Finalizado - Ganador: yasión]

Iniciado por WHK, 23 Noviembre 2009, 09:06 AM

0 Miembros y 3 Visitantes están viendo este tema.

jdc

"><script>alert('aqui no esta el xss')</script>


:xD

SeC

Cita de: janito24 en 24 Noviembre 2009, 20:54 PM
"><script>alert('aqui no esta el xss')</script>


:xD

jwauawjwuaa, quiero esos 8 puntoooos!!

Mejor sigo trasteando en el código :P .

Suerte.
Educad a los niños y no sera necesario castigar a los hombres - Pitagoras.

Skeletron

Cita de: дٳŦ٭ en 24 Noviembre 2009, 20:33 PM
Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD

Lo que yo sé, es que éste usuario, que le acabo de citar lo que dijo, cuando anda en un POST, arriba donde dice: "Viendo este tema: xxx, xxxxx, xxx" se deforma.. o sea, su nick, al tener algun comando extraño, deforma ese texto... veanlo ustedes mismos...
(yo lo vi cuando habia 1 visitante oculto, y en el "+" del +1 oculto, se deformaba todo.. con los parentesis que aparecen, porque la palabra OCULTO aparece entre parentesis...)

Para mi, puede estar por ahí..

jdc

mmm en el nick aparentemente tampoco esta ¬¬

-Ramc-

Cita de: Skeletron en 24 Noviembre 2009, 21:01 PM
Cita de: дٳŦ٭ en 24 Noviembre 2009, 20:33 PM
Citar
detectabot.php

Ese yo lo hice y hasta donde lo dejé no tenía XSS, vamos, no retornaba html xD

Lo que yo sé, es que éste usuario, que le acabo de citar lo que dijo, cuando anda en un POST, arriba donde dice: "Viendo este tema: xxx, xxxxx, xxx" se deforma.. o sea, su nick, al tener algun comando extraño, deforma ese texto... veanlo ustedes mismos...
(yo lo vi cuando habia 1 visitante oculto, y en el "+" del +1 oculto, se deformaba todo.. con los parentesis que aparecen, porque la palabra OCULTO aparece entre parentesis...)

Para mi, puede estar por ahí..
No creo que sea algo tan así.

Cita de: +ADw-script+AD4-alert(/janito24/)+ADsAPA-/script+AD4- en 24 Noviembre 2009, 21:31 PM
mmm en el nick aparentemente tampoco esta ¬¬
jajajajajaa

Además algún filtro ha de haber que hay que saltar, yo voy mirar un rato lo del bbc, antes de irme a clases.

Shhh... be vewy, vewy, quiet!  I'm hunting wabbits...
LA PANDILLA MAS GRANDE DE MI CIUDAD, SE LLAMA POLICIA NACIONAL.

BrokenWindow

Cita de: /'><script>alert(janito24)</script> en 24 Noviembre 2009, 21:31 PM
mmm en el nick aparentemente tampoco esta ¬¬

Te faltaron las comillas en la cadena del alert()  :xD

Saludos

Castg!

pero al verlo en el codigo fuente, se ve remplazado el caracter ">" por "&gt;". suerte! vamos por mas CARAJO!

yasión

Bah ya me cansé...xD Ahí va la mejor idea que tuve, que igual no tiene ni sentido pero... Trata en meter un bbcode que no parsee las " dentro de un bbcode tipo url para escaparlo y poder meterle un evento js, pero nanai... :-(

Luego seguiré trabajando la idea...xD Lo dejo por si le sirve a alguien:

[url="[quote author=" onerror=alert(5)][/quote]]clik[/url]

La idea era que el quote se convirtiera en un:
Cita de: " onerror=alert(5)
y despues se tratará la url...xD Pero el url se cierra con el primer ] que encuentra así que tendré que probar otra cosa...

Va a ser que tocará esperar al domingo para entender bién esto...xD

jdc

También lo probé con las comillas en el alert y no funciona :) también lo probé normal, este nick quedó así después de ponerlo como html :)

Hay que ver que dice WHK sí se puede meter como visitante o necesariamente debes estar como usuario por lo menos.

De todas maneras insisto en que el xss debe estar abajo cerca del combo, sólo estoy jugando.

Castg!

janito! que combo desis? tipo "Seguridad informatica?" ajajj. ya me volvi loco.