Varios bugs en ¡mageshack y photobucket [Muy interesantes]

Iniciado por dimitrix, 25 Febrero 2008, 08:44 AM

0 Miembros y 2 Visitantes están viendo este tema.

dimitrix

Vamos a ver, este fallo ya ha sido avisado a photobucket pero no se si lo repararán, pero ¡mageshack no creo que lo hagan, mientras dure úsenlo XD

Con este fallo podemos:

* Hacer que nunca nos salga el sapo feo de ¡mageshack diciendo que el archivo ha sido borrado (es mentira no ha sido borrado)

* Hacer que nunca más nos salgan las imágenes fea de photobucket diciendo que pasó el acho de banda.

* Esto ya no se puede, ya que avisé y lo repararon pero es bueno saberlo -> XSS para robar cuentas en photobucket y otras cosas...


El método es sencillo, simplemente es igual para los dos servidores:

Imaginemos que tenemos esta imágen en photobucket:

http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png

Y esta en ¡mageshack:

http://img245.¡mageshack.us/img245/7417/linuxfi0.gif

Lo único que tendríamos que hacer para que no caducara ni nos de problemas sería añadir un "?"

Es decir la url en photobucket:
http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png  MAL
http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png? BIEN

Es decir la imagen en ¡mageshack:
http://img245.¡mageshack.us/img245/7417/linuxfi0.gif  MAL
http://img245.¡mageshack.us/img245/7417/linuxfi0.gif?  BIEN

Se pone igual que siempre en los foros y las webs, además que si veis alguna imagen por ahí que esté mal, también podeis verla bien vosotros con este método.







Bueno, el XSS ya no se puede usar (eliminaron el archivo y ahora está dando error cuando la gente quiere previsualizar algo, pero ellos mismos...)

Se encontraba en:
http://www.photobucket.com/preview.php

Ellos lo usaban por método POST, pero también se podía por GET, la variable usada era txt, es decir:

http://www.photobucket.com/preview.php?txt=XSS

Aparte de robar cuentas se podían hacer cosas tan bonitas como esta:



Autor del descubrimento: Dimitrix
Web del post original: http://foro.dimitrix.es/index.php/topic,697.0.html




dimitrix

Solo decir que se que esto es muy lammo, pero si avisé antes del XSS y de otros fallos que aún están operativos y no los hago público, son simplemente para ayudar a que los que no deben ser nombrados no hagan más daño a este foro y que no tengan que bannear photobucket.

Dentro de poco pondré otro fallito para los dos servidores, que si que puede estar divertido XD

Saludos a todo el foro elhacker.




Pablo Videla

ajaj que buena , siempre haciendo el bien no... me parece perfecto , saludos y gracias por compartir conocimientos  ;D

Azielito

excelente, no sabia eso del "?" al final  ¬¬

algo tan sencillo pero tan 'poderoso' ¬¬

lo que mas me gusto es es parte donde dice "ubuntu" :xD

dimitrix

Jojo como eres Azielito  >:D XD
Bueno gracias a los dos, lo malo es que ahora dicen por ahí que eso ya lo había descubierto y hecho público "los que no deben ser nombrados"

Siguentes bugs: Megaupload, SMF, vBullinet y PHPbb* , ImagesHack & Photobucket (cosas nuevas y chulas) y poco más...

*PHPbb: No se como se llaman del todo bien esos foros...




berz3k

Me gusta las "tits" mas que la t-shirt de Ubuntu, eso r0x :D, de que era el tema? ahh ya XSS  XDD

-berz3k.


ni0x

Creo que esto ya lo habia leido en otro sitio....

Aun asi gracias por compartirlo.

PD: Estoy de acuerdo con Azielito lo mejor es la parte de ubuntu  ;)

~[uNd3rc0d3]~

pues si, yo ya los conocia....tambien conozco otros...(2 mas)

de megaupload no conozco ninguno....me voy a poner a investigar!!! gracias por avisar que hay 1 XD

see ya!

leete las reglas asi todos estamos mejor ;)

zhynar_X

Curisoso lo del ?,  habrá que provarlo.

Citar
lo que mas me gusto es es parte donde dice "ubuntu"

Nada como el avatar de huemulito xD  >:D >:D


Saludos  :-\
Me he creado un blog:
http://zhynar.blogspot.com  Aver si os gusta! ;)


Optimista es aquel que cree poder resolver un atasco de trafico tocando el claxon (Anonimo)

dimitrix

Cita de: ~[uNd3rc0d3]~ en 25 Febrero 2008, 19:28 PM
de megaupload no conozco ninguno....me voy a poner a investigar!!! gracias por avisar que hay 1 XD

Es raro que lo encuentres, me di cuenta gracias a un error que me soltó windows... para algo están...