Ya lo logreeeeeeeeeeee!!!! xD.
Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.
Mostrar Mensajes MenúCita de: m0rf en 11 Febrero 2012, 11:11 AM
Pero con xss lo puedes enviar desde la misma elhacker.net y no daria error de referencia no?
Bueno mi idea era solo obtener el sc con el xss para usarlo en el form, pero si necesita referer puedes hacer un script en la url que es vulnerable para insertar el form desde alli no?
I si no, no lo he probado nunca, pero no puedes hacer una petición falsa con el referer falsificado? Repito que no lo he probado ni se si puede hacerse.
Cita de: adrianmendezRap en 9 Febrero 2012, 19:52 PM
http://foro.elhacker.net/logout.html;sesc=91d7f05fe3b08303f6f0244307936c2a
http://foro.elhacker.net/logout.html;sesc=cf026660f2d249015c1529e71d9b4b61
http://foro.elhacker.net/logout.html;sesc=ca6bd350e25f85b07fc320901516dea9
http://foro.elhacker.net/logout.html;sesc=6c6417c2d3b18c3ae33ea498a02ba1d0
Cita de: zaphire en 9 Febrero 2012, 14:38 PM
@yoya:
Muy bien!!! alguna pista???
Cita de: m0rf en 9 Febrero 2012, 14:37 PM
Yo con el formulario que cree con mi sc podia cambiar mi firma. Ese otro filtro no lo he encontrado. Lo consigues con xss o de otra forma el sc?
Cita de: ~ Yoya ~ en 9 Febrero 2012, 14:21 PM
Ya he podido capturar el ID del token (sc).. Ahora hay otro filtro, que es el sitio de referencia xD, ya que el exploit que enviá el formulario se ejecuta en un sitio remoto xD.
Y la única forma seria enviar una petición GET utilizando el foro, así se tomaría como referer la dirección del foro, pero para editar el perfil es necesario enviar el contenido vía POST. Y desde el foro es imposible realizar peticiones POST....
Y desde un formulario no puedes enviar alguna referencia xD.
Saludos.