Mensajes

[Detalles]

no hay csrf porque lleva el token de sesión que es un valor al azar cada ves que logueas y el xss está en el censurador de palabras que solo el administrador tiene acceso.

De todas formas ya habia sido reportado por sdc en simpleaudit hace tiempo. Muchas de las fallas de simpleaudit siguen funcionando como el robo de token:
http://foro.elhacker.net/nivel_web/auditoria_de_seguridad_hacia_simple_machines_forum_20-t271199.0.html;msg1357992#msg1357992

Detalles


 
 
 
 
 
 

Descripción:	XSS en el censurador de palabras
Descubierto por:	sirdarckcat@elhacker.net
Código vulnerable:	N/A
URL Vulnerable:	index.php?action=admin;area=postsettings;sa=censor
PoC:	[ testing-xss-sdc-1 ] => [ <script>alert(/lolazo/)</script> ] [ testing-xss-sdc-2 ] => [ " onerror="alert(1) ]
Afecta a:	‭‬SMF 1.1.10 y 2.0 RC2

Descripción

Todos los que tengan acceso al area del censurador:
index.php?action=admin;area=postsettings;sa=censor

Pueden hacer XSS en cualquier parte del foro...
PoC:

Ponga la palabra a ser censurada a la izquierda, y el reemplazo a la derecha.

[ testing-xss-sdc-1 ] => [ <script>alert(/lolazo/)</script> ]
[ testing-xss-sdc-2 ] => [ " onerror="alert(1) ]

Si ingresas al foro, tomas la cookie y despues te deslogueas tu hash asalt cambia y ese valor va en tu cookie.
En la cookie de smf va el id de usuario, id de grupo de usuario, hash de la contraseña y el hash asalt que es como el token de sesión del usuario pero tiene otros fines que no son el evitar csrf, este hash evita el robo de cookies en parte porque cuando ingresas unevamente tu hash asalt cambia por lo tanto la cookie que tenias anteriormente ya quedó invalidada.

La cookie del foro se estructura de forma serializada, si tomas su contenido la pruedes procesar en php diciendo

Código (php) [Seleccionar] Expandir

<?php unserialize($contenido_cookie); ?>
Pero si no tienes el asalt o es de una sesión vieja entonces no podrás usar la misma cookie.

Eso podría responder porqué talves la sesión no te funcionó en un momento pero lo de que no salía la alerta lo mas seguro era que si se debía a OnlyHttp(), para comprobarlo si usas firefox ve a la consola de errores y deberías ver una exepción de seguridad o si no un mensaje que dice que document.cookie is null pero si lo ves desde el live headers verás que la cookie si se envía y eso se hace porque smf no necesita de la cookie paa realizar funciones criticas en javascript ya que todas las acciones se hacen directamente via get o post.

Hi5 tiene xss

http://www.hi5.com/friend/group/3775678--alert%2528%2527test%2527%2529cockhole--front-html

se hacen una cuenta y le dan click en "unirse al grupo"

En el theme ElHacker.NET no pasa eso 

Válido para internet explorer

Código [Seleccionar] Expandir

http://account.fotolog.com/login?redirect=a" style="width: epresionje(alert('XSS'));" x="x

Donde dice epresionje es expression

eso significa que la contraseña es inválida o el host de conexión no coincide y por eso te rechaza el ingreso con ese user.

Mejor ponte una shell c99 en un servidor local y desde ahi haces la conexión remota.

Gracias fellargasi por esas ganas de ayudar! ojala todos fueramos así, pero sería mejor si pudieras encontrar documentación un poco mas actualizada, esos bugs son de hace mas de 10 años.

Y el proyecto es por amor al arte de distribucion gratuita o pagado para su posterior venta?

Pienso que debiste comenzar preguntando en la sección de criptografía en ves de programación

eso es otro tema, no es xss ni csdf, si alguien cae en eso es porque con suerte sabe encender la pc.