Braulio te está haciendo la competencia xD
http://foro.elhacker.net/nivel_web/toolpython_mi_herramienta_para_sqli_en_mysql-t276135.0.html
http://foro.elhacker.net/nivel_web/toolpython_mi_herramienta_para_sqli_en_mysql-t276135.0.html
- Bienvenido a Test Foro de elhacker.net SMF 2.1.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
#3532
Nivel Web / Re: [Tool][python] Mi herramienta para SQLi en mysql
28 Noviembre 2009, 20:59 PM
aaah genial, octalh habia hecho uno similar pero en php.
Lo agregaré al recopilatorio de herramientas ^^
Lo agregaré al recopilatorio de herramientas ^^
#3533
Hacking / Re: ecriptacion
28 Noviembre 2009, 20:58 PM
no teno idea que pueda ser, todo depende como esté construido el script pero por las últimas dos comas que lleva puede significar que ese campo se divida en tres partes separadas por comas asi que lo mas probable es que tienes una parte que es el string pqlup3c0n0mic4.
Si es un acceso o algun dato de usuario intenta ingresar como usuario normal, trata de registrarte y despues observa en tus cookies si te ha dejado algun campo que tenga esa misma cantidad de carácteres o algún tipo de hash, entonces reemplazas tu hash por ese que acabas de escribir (ahi ves si va con coma o no) y si incluye tu id de usuario que puede ser un número o una cifra trata de obtenerlo desde la misma tabla de la base de datos y también te lo modificas.
Con eso tienes muchisimas probabilidades de hacer login como si fueras ese usuario que intentas loguear.
Si es un sistema bién hecho entonces te va a solicitar otro hash o va a hacer una mezcla de hashses y no va a ser posible ingresar tal como sucede en simplemachines y en wordpress.
Si ese es tu caso entonces intenta hacer un load_file() e intenta cargar algún archivo donde salga como hace la verificación de la cookie para ingresar a esa pagina o sistema web.
Saludos.
Si es un acceso o algun dato de usuario intenta ingresar como usuario normal, trata de registrarte y despues observa en tus cookies si te ha dejado algun campo que tenga esa misma cantidad de carácteres o algún tipo de hash, entonces reemplazas tu hash por ese que acabas de escribir (ahi ves si va con coma o no) y si incluye tu id de usuario que puede ser un número o una cifra trata de obtenerlo desde la misma tabla de la base de datos y también te lo modificas.
Con eso tienes muchisimas probabilidades de hacer login como si fueras ese usuario que intentas loguear.
Si es un sistema bién hecho entonces te va a solicitar otro hash o va a hacer una mezcla de hashses y no va a ser posible ingresar tal como sucede en simplemachines y en wordpress.
Si ese es tu caso entonces intenta hacer un load_file() e intenta cargar algún archivo donde salga como hace la verificación de la cookie para ingresar a esa pagina o sistema web.
Saludos.
#3534
Nivel Web / Re: Necesito ayuda con xss. La cookie esta muy larga.
28 Noviembre 2009, 20:52 PM
Genial!, si tienes alguna duda con alguna lectura nos avisas y vemos en que te podemos ayudar.
#3535
Nivel Web / Re: Necesito ayuda con xss. La cookie esta muy larga.
28 Noviembre 2009, 18:58 PM
Hola, puedes utilizar una petición post con xmlhttp desde javascript o insertando un nuevo .js al código desde el xss y manipulas a tu antojo el .js para que pueda enviarte la cookie ya sea en trocitos o serializada.
También puedes inyectar al DOM un formulario para enviar todo atraves de una sola petición post.
Si no sabes que es una petición post te sugiero que leas un manual básico acerca de xss y código html para que puedas aprender como funciona un formulario web.
La otra opción sería que le preguntes directamente a la persona que descubrió el xss:
http://www.xssed.com/mirror/62113/
Si quieres aprender puedes leer estos tutos para que comienzes con lo básico:
http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html
http://foro.elhacker.net/desarrollo_web-b7.0/
http://en.wikipedia.org/wiki/POST_%28HTTP%29
http://www.subgurim.net/Articulos/ajax-y-javascript/54/ajax-a-pelo-xmlhttprequest.aspx
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_261109-t244090.0.html
Saludos.
También puedes inyectar al DOM un formulario para enviar todo atraves de una sola petición post.
Si no sabes que es una petición post te sugiero que leas un manual básico acerca de xss y código html para que puedas aprender como funciona un formulario web.
La otra opción sería que le preguntes directamente a la persona que descubrió el xss:
http://www.xssed.com/mirror/62113/
Si quieres aprender puedes leer estos tutos para que comienzes con lo básico:
http://foro.elhacker.net/nivel_web/diccionario_informatico_sobre_bugs_y_exploits_en_nivel_web_v10-t264007.0.html
http://foro.elhacker.net/desarrollo_web-b7.0/
http://en.wikipedia.org/wiki/POST_%28HTTP%29
http://www.subgurim.net/Articulos/ajax-y-javascript/54/ajax-a-pelo-xmlhttprequest.aspx
http://foro.elhacker.net/nivel_web/temas_mas_destacados_fallas_y_explotaciones_a_nivel_web_actualizado_261109-t244090.0.html
Saludos.
#3537
Programación Visual Basic / Re: [DUDA] Ver mi ip vb6
28 Noviembre 2009, 15:44 PM
No creo que sea mejor solución que la de xkiz pero podrías utilizar el control winsock y llamar a msgbox winsock1.localip
#3538
Nivel Web / Re: Hackea a Elhacker.net !
28 Noviembre 2009, 07:08 AMCita de: Skeletron en 28 Noviembre 2009, 03:07 AM
Bien..
Vulnerabilidad encontrada..
Estaria bueno que todos descarguen el pluging: NOSCRIPT de Firefox para protejerse..
Estaría bueno que todos usaramos software libre pero no todo en la vida es de color rosa xD
#3539
Nivel Web / Re: Hackea a Elhacker.net !
28 Noviembre 2009, 03:48 AM
jajajaja bieeeeeennnn 
aunque ese no era el xss original pero igual se vale xD
yasión se lleva los 8 puntos de warzoneee
aprovechando el post alguien podría darle un vistazo a este mismo post con ie6 para que se le ejecute este xss:
Ie6
%20'//%5Bcode%5D)
[/code]
FF
Click aca[/code]
Felicidades yasión nuevamente y gracias a todos los que han participado! y gracias también a notxor y a todos los que han participado!
Saludos y happy hacking!
Nos vemos el dia 30 con el full disclosure de la auditoría hacia simplemachines y sus 45 bugs y en diciembre para el especial de navidad
aunque ese no era el xss original pero igual se vale xDyasión se lleva los 8 puntos de warzoneee
aprovechando el post alguien podría darle un vistazo a este mismo post con ie6 para que se le ejecute este xss:
Ie6
FF
Click aca[/code]
Felicidades yasión nuevamente y gracias a todos los que han participado! y gracias también a notxor y a todos los que han participado!
Saludos y happy hacking!
Nos vemos el dia 30 con el full disclosure de la auditoría hacia simplemachines y sus 45 bugs
y en diciembre para el especial de navidad
#3540
Nivel Web / Re: Hackea a Elhacker.net !
28 Noviembre 2009, 00:43 AM
Y aprovechando de hacer spam recuerden que pueden inscribirse acá:
http://elistas.egrupos.net/lista/elhackernet
Si lo hacen les llegará al correo unicamente uno o dos correos mensuales que es un boletín el cual trae temas como post destacados en el mes, programas nuevos, eventos etc , todo relacionado con este foro y está super bueno.
Si alguien se inscribe no se le enviará ningún tipo de correo adicional publicitario ni se compartirá con nadie mas, esa lista de grupos de correos se utiliza únicamente para enviar el boletín mensual asi que vale la pena
yo los tengo todos a contar del boletín número 63 y ya vamos en el número 94.
Si no te pasas mucho por el foro pero quieres estar al tanto de los mejores temas puedes aprovechar.
Si alquien quiere inscribirse lo único que debe hacer es poner su correo donde dice
Saludos!
http://elistas.egrupos.net/lista/elhackernet
Si lo hacen les llegará al correo unicamente uno o dos correos mensuales que es un boletín el cual trae temas como post destacados en el mes, programas nuevos, eventos etc , todo relacionado con este foro y está super bueno.
Si alguien se inscribe no se le enviará ningún tipo de correo adicional publicitario ni se compartirá con nadie mas, esa lista de grupos de correos se utiliza únicamente para enviar el boletín mensual asi que vale la pena
yo los tengo todos a contar del boletín número 63 y ya vamos en el número 94.Si no te pasas mucho por el foro pero quieres estar al tanto de los mejores temas puedes aprovechar.
Si alquien quiere inscribirse lo único que debe hacer es poner su correo donde dice
CitarTu dirección de correoy presionar el botón que dice
CitarDarme de alta
Saludos!