Mensajes

Cuando encuentras un valor de tipo %00 es una codificación llamada urlencode y en si es un valor hexadecimal que comienza con el signo "%", ahora... para descifrar el contenido lo primeor que debes hacer es hacer ingeniería inversa al código de ‭‬‭‬javascript o si no utilizar firebug o dependiendo de que realmente quieres hacer, si lo que quieres es descargar el archivo swf puedes utilizar complementos para firefox o el flash decompiler para internet explorer

Ponemos en un solo archivo todo el contenido de tu script comenzando desde el archivo ‭‬‭‬javascript, o sea:

Código (html4strict) [Seleccionar] Expandir

<html>
<body>
<script>
aca el contenido del archivo js
</script>
aca el contenido del archivo html
</body>
</html>

Ahora al contenido del archivo ‭‬‭‬javascript donde dice "eval(" lo reemplazamos por "alert(" y nos mostrará un mensaje de alerta con el contenido descifrado xD, si necesitas copiar todo entonces puedes hacer un "prompt(" y ya está.

Ahora, si lo que quieres es comprender como funciona todo el código primero debes reemplazar el contenido de urlencode por contenido de texto plano, o sea entra a www.elhacker.net/sneak.php y pon el contenido en ese sistema que aparece y le das en la opción de urlencode a string y con eso podrás ir viendo de que se trata todo esto.

Si utilizas firefox puedes instalar un complemento llamado firebug con el cual podrás editar en tiempo real el DOM, o sea, abres el firebug en modo de edición y reemplazas el eval por prompt y automaticamente aparecerá un cuadro de texto con el contenido descifrado.

para eso existe windows server, win7 no sirve mucho para usarlo de servidor porque es demasiado estricto en cuanto a los permisos de escritura de archivos, ese sistema op es mas para usarlo en casa no para servidor.

Si van a eliminar el foro de gps tendrían que eliminar primero el foro de post producción y audio digital xDDDD

Hola, lo agregué al post de recopilaciones:
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_201209-t244090.0.html

Necesito que alguien me indique un manual ( el cual no e conseguido encontrar para un nivel , como el mio..., bajisimo ) con el que poder aprender lo basico e ir arrancando desde 0 ....

Hola, podrías iniciar comenzando por leer el post que está un poco mas arriba:
http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Sería bueno comprarar la ejecución de un pequeño script con un objeto clase orientado al POO y otro con arrays multidimensionales xD

[TIPS]

TIPS

Si ya conoces lenguaje WEB y entiendes lo básico de vulnerabilidades WEB entonces puede que necesites un poco de orientación sobre como encontrar una vulnerabilidad o hacer una auditoría.

Primero que nada debo decir que lo peor que puedes hacer es utilizar softwares que automatizen tus resultados de busqueda tales como SSS (Shadow Security Scanner), N-Stalker, Nikito, etc.

¿Pero porqué?
Porque mas que resultados positivos solamente vas a lograr un intento de DOSear al servidor xD ya que los scanners utilizan demasiadas peticiones de forma masiva y eso produce demasiadas alertas y consumo de ancho de banda a lo loco intentando cada una de las probailidades posibles de encontrar un bug y en muchos casos no podrás encontrar mas del 20% de las vulnerabilidades del sitio.
Lo por experiencia propia ya que yo también comenzé así sin saber mucho del tema y adoraba estos scanners porque te encuentran todo solo.
El otro problema es que si un escaneador te encuentra un resultado te dará un enlace de como explotarlo pero mucha gente no tiene ni idea como funcionan esos exploits o pruebas de concepto porque no entienden que son, solo saben darle click al botón y nada mas, por eso es importante conocer lenguaje WEB y si quieres un mejor resultado, algo que sea profesional entonces no utilices escaneadores por nada del mundo, usa tu imaginación, ingenio, netcat, firefox, live headers, ncookies edit, firebug y listo!

Mientras mas conozcas sobre vulnerabilidades podrás saber mejor por donde buscar, no hay nada que pueda estar escrito sobre como encontrar vulnerabilidades y los que si hay no te dicen todo, todo lo define tus conocimientos, imaginación e ingenio.

Firefox es buenisimo por la cantidad de complementos que tienes para auditar sitios WEB, por ejemplo firebug sirve para observar el comportamiento del DOM y manipular todo lo que normalmente te restringe via javascript, ncookies edit te sirve para editar tus cookies, live headers para observar todo lo que pasa por tus peticiones y request, netcat para hacer las peticiones que el explorador no pueda. También es recomendable no-script para evitar ofuscamiento via javascript.

La herramienta mas impresindible es tu cerebro, eso puede mucho mas que un escaneador automatizado.
Lee sitios webs que expongan exploits o PoCs y comprenderás como funcionan algunas vulnerabilidades y con el tiempo podrás irlas aplicando según te limite tu imaginación.

Acabo de hacer este tema:

http://foro.elhacker.net/nivel_web/iquestcomo_iniciarse_en_la_seguridad_web-t279791.0.html

Trataré de ir llenandolo de a poco para poder responder tu pregunta en ese lugar.

[¿Como iniciarse en la seguridad WEB?]

¿Como iniciarse en la seguridad WEB?

Mucha gente anda por todos lados buscando orientación de como comenzar a aprender esto de la seguridad a nivel WEB.

1.
Lo primero que debes tener en claro es que es lo que realmente deseas ser o hacer, si lo que quieres es ir por internet y tumbar cualquier servidor que se te cruze por delante entonces estás en el lugar equibocado.

2.
Lo segundo que necesitas antes de comenzar cualquier cosa es entender que es ser ético, tener una madurez mental mínima, ser autodidacta, no esperar a que la gente haga todo por ti y saber hacer buenas preguntas.

¿Porqué ser ético y tener una madurez mental mínima?
Imagina si la gente que sabe sobre seguridad a nivel web comienza a desmadrar cada sitio que visita o se le cruza o mejor piensa que te compras un hosting con dinero propio y pones mucho esfuerzo en montar tu foro o portal para que alguien venga y te lo tumbe al primer dia... lo reparas y al tercer dia lo mismo .
Decir "¿Como puedo defacear una web?" es muy similar a la frase "¿Como puedo hacearle el hotmail a mi novia?" debido a muchas cosas, primero que nada pensar por un momento que sacas con ir por la vida tumbando paginas webs, mas que fama o fortuna o mujeres lo único que vas a lograr es una visita de la policía por lo menos una ves al mes y convertirte en un delincuente informático, cosa muy diferente a decir que eres un auditor y buén programador que puede ayudar a la seguridad de un sitio web y ser reconocido por ser bueno en lo que haces en ves de ser odiado por la gente que sabe y adorado por los lamers mas grandes sobre la faz de la www.

¿Porqué ser autodidacta y no esperar a que los demas hagan las cosas por ti?
Imagina que te doy un script que lo subes a un hosting y al visualizar el archivo te ejecuta un exploit, no vas a saber como funciona por lo tanto si surge un problema no sabrás solucionarlo, tampoco podrás encontrar tus propias vulnerabilidades porque siempre vas a tener que esperar a que alguien mas los encuentre y eso no es bueno, eso es ser dependizado de la gente que si sabe y se esfuerza y son los que entienden de seguridad web, los que no son autoddactas nunca podrán surgir por si solos, por eso siempre busquen, aprendan, lean, y cuando todos los recursos de busqueda se hayan agotado entonces ahi recién pregunten a alguien que sepa mas.

¿Porqué es necesario saber hacer buenas preguntas?
Hay buenos tips para hacer una buena pregunta y una buena pregunta lleva a buenas respuestas, mientras mas mal hecha sea una pregunta también será peor la respuesta ya que puede no ser tomada en serio o causar el disgusto del que si pueda responderte de buena forma.

Una mala forma de hacer una pregunta es llenar de signos de exclamación "ayudaaaa!!!!!".
Una buena forma de hacer una pregunta es siendo específico.
Una mala pregunta es cuando pides cosas que puedes encontrar en el primer resultado en cualquier buscador como Google.
Una buena pregunta es cuando necesitas algo que no puedes encontrar con facilidad en cualquier buscador.
Una mala pregunta es hacerla con intención de querer dañar a alguien o hacerlo sin ética.
Una buena pregunta es cuando necesitas algo para una buena causa.
Una mala pregunta es cuando se acompaña con un nick que tiene demasiados carácteres y simbolos raros.
Una buena pregunta es siendo respetuoso y solicitando las cosas "por favor" ya que al final nadie te va a cobrar por la respuesta que necesitas.

3.
Ahora si, después de todo lo principal lo que necesitas es entender el lenguaje WEB, o sea saber programar.
¿Si no entiendes como funciona una página web entonces como quieres comprender como encontrar una falla?

Lenguajes recomendados para aprender:
HTML (Obligatorio)
PHP
ASP
SQL general (Obligatorio)
MySQL
MSSQL (Opcional)
javascript (Obligatorio)
HTTP (Opcional)

Lo mas importante es saber HTML ya que con eso puedes entender como funciona la mayoría de los ataques a nivel cliente y dependiendo el lenguaje en que esté hecho el sitio WEB necesitarás aprender ya sea php, asp, cgi/perl, python, etc etc.
Es necesatio aprender lenguaje SQL para tener la báse de lenguajes derivados tales como MSSQL y MySQL.
De forma opcional puedes aprender como funciona el protocolo HTTP para poder realizar test avanzados que no te permita realizar el explorador.

Este pequeño listado contiene los lenguajes WEB mas utilizados pero hay muchisimos mas, por lo tanto si quieres recién comenzar debes aprender uno por uno de esa lista.

¿Como puedo aprender php?
Lo primero que hacemos es instalar un servidor WEB, en mi caso recomendaré un pack de programas llamado XAMPP (Windows) y LAMPP (Linux) el cual contiene todo lo que necesitas para practicar:

• Apache server
  
• PHP
  
• MySQL
  
• FTPD
  
• Phpmyadmin
  
• SQLiteadmin
  
  Una ves que lo instales debes localizar un directorio llamado "htdocs", "www" o "public_html" que quedará dentro del directorio del programa, ahi pondremos todas nuestras pruebas en php, mysql, etc etc.
  
  Ahora lo único que necesitas es buscar buenos manuales de como programar en php, mysql, javascript, html, etc etc etc.
  
  4.
  Lo que yo recomiendo es aprender en la práctica, por o tanto te buscas scripts de ejemplos que puedas encontrar por ahi y los instalas en tu servidor local (el que acabas de instalar), ahora como se supone que ya aprendiste php intenta crear tus propios sistemas o scripts y cuando lo hagas te irás dando cuenta en que pueden ser vulnerables, lees sitios webs donde expongan vulnerabilidades para poder comprender como funcionan, aprende que significan los siguientes términos:
  XSS
  CSRF
  SQL Inyeccion
  CRE
  Null Byte Atack
  etc etc etc y con eso ya vas a tener la base para poder continuar solo a aprender todo lo que te guste.
  
  Con el tiempo te irás dando cuenta que hay muchos sistemas públicos que contienen pequeños bugs o problemas de seguridad que puedes transformar en un riesgo de alto nivel.
  
  Para poder comprender algunos términos básicos es recomendable dar un vistazo al diccionario ( http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html ) claro.. una ves que hayas aprendido lenguaje web
  
  Aportes, dudas, consultas, apoyo, son bienvenidos!

los gadgets de google pueden prestarse para ataques de tipo xss debido a que mantienen contenido html habilitado. No creo que sea buena idea.