Mensajes

Está claro que "Es imposible" hablar con los de Megaupload siempre que le mandas un mensaje por el formulario nunca te responden.

No encontré lo de megaupload que me decías... si me pasas el link te lo agradeceré...

Bueno, pues se supone que tendré que sacar el de SMF, ese si que es divertido...

Abajo de eso te saldrá:

"Desinscribirse a nuevos temas desde este foro haciendo clic aquí:"

No me gusta nada esto de los bug's, no se por que, pero siempre acabo mal, otro se adelantaron o lo que sea, joder es que esto lo vi antes, pero no quería decirlo por lo del XSS, no problem, es más, estoy seguro que en los próximos me pasará algo parecido, da igual que sean de megaupload o de lo que sea, siempre pasará algo, aquí está uno de los mensajes que me mandaron con las primeras vulnerabilidades:



Seguramente el siguiente que postearé será el de Megaupload, pero aviso y pregunto antes:

¿Por ahora se conce algún fallo/bug que permita tener enlaces de megaupload que simplemente apretando ya salga la caja con lo de abrir/guardar sin tener premium ni pagar nada y sin hacer nada en la cuento, es decir solo modificando la URL?

de megaupload no conozco ninguno....me voy a poner a investigar!!! gracias por avisar que hay 1 XD

Es raro que lo encuentres, me di cuenta gracias a un error que me soltó windows... para algo están...

Jojo como eres Azielito  XD
Bueno gracias a los dos, lo malo es que ahora dicen por ahí que eso ya lo había descubierto y hecho público "los que no deben ser nombrados"

Siguentes bugs: Megaupload, SMF, vBullinet y PHPbb* , ImagesHack & Photobucket (cosas nuevas y chulas) y poco más...

*PHPbb: No se como se llaman del todo bien esos foros...

[EDITO:]

Ok, pero no entiendo una cosa, yo no se mucho de php, pero tu función creo que está diciendo que cargue en la variable "$url", los datos que vengan por GET de la "VARIABLE" "http://www.******.com/equipos/2008.asp", creo que es por eso que te falla, el código completo creo que sería así:

Código (php) [Seleccionar] Expandir

<?php
if($_GET){
$url=$_GET['url'];

$id = $_GET['3'];
$html = implode('', file($url));
$tablas = split('<table',$html);
echo '<textarea cols=100 rows=50><table '.$tablas[$id].'</textarea>';
}
?>

no se muy bien por que puse el "if($_GET){" pero si lo quitas quita también el "}"



EDITO: Veo que lo que has hecho es poner lo que te puso directamente Azilito, cosa que no entiendo yo tampoco, pero si es lo que creo, no tienes que poner ahí la URL, lo tienes que poner en la URL.

www.dominio.com/archivo.php?url=http://www.******.com/equipos/2008.asp&n=3

No obstante si son siempre los mismos creo que esto te serviría:

Código (php) [Seleccionar] Expandir

<?php
$url= "http://www.******.com/equipos/2008.asp";
$id = "3";
$html = implode('', file($url));
$tablas = split('<table',$html);
echo '<textarea cols=100 rows=50><table '.$tablas[$id].'</textarea>';
?>

Al igual que tu, yo también estoy empezando, así que no se si estará bien o me faltará algo.

Saludos

Solo decir que se que esto es muy lammo, pero si avisé antes del XSS y de otros fallos que aún están operativos y no los hago público, son simplemente para ayudar a que los que no deben ser nombrados no hagan más daño a este foro y que no tengan que bannear photobucket.

Dentro de poco pondré otro fallito para los dos servidores, que si que puede estar divertido XD

Saludos a todo el foro elhacker.

[?]

Vamos a ver, este fallo ya ha sido avisado a photobucket pero no se si lo repararán, pero ¡mageshack no creo que lo hagan, mientras dure úsenlo XD

Con este fallo podemos:

* Hacer que nunca nos salga el sapo feo de ¡mageshack diciendo que el archivo ha sido borrado (es mentira no ha sido borrado)

* Hacer que nunca más nos salgan las imágenes fea de photobucket diciendo que pasó el acho de banda.

* Esto ya no se puede, ya que avisé y lo repararon pero es bueno saberlo -> XSS para robar cuentas en photobucket y otras cosas...

El método es sencillo, simplemente es igual para los dos servidores:

Imaginemos que tenemos esta imágen en photobucket:

http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png

Y esta en ¡mageshack:

http://img245.¡mageshack.us/img245/7417/linuxfi0.gif

Lo único que tendríamos que hacer para que no caducara ni nos de problemas sería añadir un "?"

Es decir la url en photobucket:
http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png  MAL
http://i214.photobucket.com/albums/cc173/dimitrix-es/1bg06mr.png? BIEN

Es decir la imagen en ¡mageshack:
http://img245.¡mageshack.us/img245/7417/linuxfi0.gif  MAL
http://img245.¡mageshack.us/img245/7417/linuxfi0.gif?  BIEN

Se pone igual que siempre en los foros y las webs, además que si veis alguna imagen por ahí que esté mal, también podeis verla bien vosotros con este método.






Bueno, el XSS ya no se puede usar (eliminaron el archivo y ahora está dando error cuando la gente quiere previsualizar algo, pero ellos mismos...)

Se encontraba en:
http://www.photobucket.com/preview.php

Ellos lo usaban por método POST, pero también se podía por GET, la variable usada era txt, es decir:

http://www.photobucket.com/preview.php?txt=XSS

Aparte de robar cuentas se podían hacer cosas tan bonitas como esta:



Autor del descubrimento: Dimitrix
Web del post original: http://foro.dimitrix.es/index.php/topic,697.0.html

Creo que es lo primero:

Código (php) [Seleccionar] Expandir

$url = $_GET['http://www.******.com/equipos/2008.asp'];

yo uso esto, miratelo:

Código (php) [Seleccionar] Expandir

if($_GET){
$url=$_GET['url'];
}

Dos opciones se me ocurren:

1º Comprimiendo en zip, rar...

2º Pasandolo a SWF y programando lo de la contraseña.