No logro pasar la prueba y "se me han acabado" las ideas.
he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a < y >, también & y # por lo que la codificación a html entities tampoco me funciona, los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación.
Ya no sé por dónde meterle mano, alguna pista? :P. Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.
Muchas veces cuando estas en una situacion real, siempre tienes que saltarte los formularios proporcioandos por la web :rolleyes:.
Me refiero puedes meter datos desde otros Lugares, Suerte
Saludos.
Sip, para modificar el campo prot he usado el achilles, pero tampoco me ha funcionando :S.
Gracias por la pista, pero sigo sin saber por dónde meter mano porque el achilles ya lo he usao xD. No sé si te referías a eso...
Si mas o menos a eso, cualquie editor de cabeceras o cualquiera que te mermita editar los metodos GET y POST antes de enviarlos estabien.
Hasta con nc puedes pasar la prueba.
Saludos.
Gracias ya lo he pasado! :). Aunque no entiendo muy bien su funcionamiento pero te pregunto por pm mejor si no te importa xD.
He estado tratando de modificar el encabezado para pasar está prueba utilizando los addons Live Http headers de firefox, pero todavía no puedo.
El problema es que veo las variables pero no los veo relacionadas a ningún elemento del encabezado, tienen algún link donde pueda econtrar información sobre modificar variables de eventos post en los encabezados, he buscado en google y no en encontrado.
No necesitas modificar nada, solo pon tu xss y listo pero si quieres buscar eso que dices busca el modify headers o el tamper data.
por cierto... el xss pasa por 2 formas, busque una 3ra pero creo que no existe y azielito se adelanto al encontrar la 2da, aunque no se cual es la que encontró y cual era la que funcionaba xD
salu2
Ahora que me doy cuenta bién no existe ningún reto llamado hack web xss, estuve mirando y solo está la de cross, site, foro y creo que esas tres son las únicas pruebas de xss pero no hay ninguna llamada así.
se refiere a cross creo.. por lo de la imagen xD
fijate en el combo :-X
En efecto creo que este hilo es de la prueba Cross
http://warzone.elhacker.net/xss/xyz.php.php
A propósito lo que pasa es que supuse que era por los encabezados ya que la página filtra los tags < >
seguro? :-X
knap te van a cortar esa lengua :xD
Siento revivir el tema, pero se me han acabado las ideas.
He llegado hasta a escribir <script>alert... en todas las cabeceras.
Lo he intentado por las cuatro variables que se pasan por POST y en la primera creo que tiene htmlentities igual que en la cuarta.
En la segunda no me deja poner otra cosa que no sean las que vienes en el combobox y en la tercera he probrado diferentes maneras de poner "<" o ">" y me da un link invalido.
¿Alguien me puede dar una pista mas?
Preguntate a ti mismo cual podría ser la pista :xD de echo verás que la pista misma como tal está en la pregunta sobre la pista por la cual preguntas... :)
Me pregunto sí será buena la pista o tal vez la respuesta enrede más que la misma pregunta :xD
Enreda mas xD.
De todas formas gracias.
xD
Cita de: braulio23 en 21 Febrero 2009, 22:06 PM
Siento revivir el tema, pero se me han acabado las ideas.
He llegado hasta a escribir <script>alert... en todas las cabeceras.
Lo he intentado por las cuatro variables que se pasan por POST y en la primera creo que tiene htmlentities igual que en la cuarta.
En la segunda no me deja poner otra cosa que no sean las que vienes en el combobox y en la tercera he probrado diferentes maneras de poner "<" o ">" y me da un link invalido.
¿Alguien me puede dar una pista mas?
si ya probaste todo eso y no funciona, pues prueba de otra forma
lotux, ¿Qué vas a comer hoy?. ¿Lo mismo de siempre con Coca-Cola?.
La verdd es que no se me ocurre, me pondré a revisar tutoriales
Saludos gente... veo que este tema lleba bastante tiempo sin tratarse pero bueno me gustaría que me hecharais una mano.Acabo de empezar a interesarme por el mundo de la seguridad informatica y he pensado que este juego sería una buena forma de comenzar...el caso es que me he leido el tutorial de XSS entero pero no consigo nada de nada con el ejercici, podriais dar una pista por favor?? un salduo ;)
Editado y borrado por mi por ser muy específico... no sabía que debía ser discreto, no me extraña que nadie me haya respondido y por ello presento mis disculpas a todo el foro...
Sigo con problemas con este reto tengo dudas de como hacer para que mi querida/odiada deje de leer... ya no se si tengo que hablarle en otro idioma o si es que no le digo las palabras adecuadas para que me haga caso, quizá debería decirle algunas palabras especiales antes de empezar una conversación, pero le diga lo que le diga y como se lo diga ella sigue leyendo...
Si alguien me puede dar algún consejo matrimonial para arreglar esta relación mi autoestima se verá muy recompensada.
Muchas gracias señores doctores :silbar:
Bueno, después de mucho comerme el tarro con esta prueba conseguí pasarla y que me la marcara como puntuada.
Gracias a los que me contestaron por mp, aunque al final conseguí pasarla antes de ver ninguno de ellos.
A los que aún no han conseguido pasarla y se están frustrando decirles que creo que al menos hay dos formas de pasarla, por lo que las pistas son para dos métodos diferentes (esto si no me equivoco, yo solo encontré una forma).
Para la forma que yo encontré no hace falta volverse loco ni saber demasiado, tengan en cuenta que es una prueba de nivel básico.
Mucha suerte a los que vengan detrás porque para lo fácil que es yo casi me vuelvo loco...
de verdad la prueba es facil de resolver asi que no maten el coco >.< :silbar: