Hack-web_XSS

Iniciado por orphen_nb, 21 Diciembre 2008, 18:55 PM

0 Miembros y 2 Visitantes están viendo este tema.

orphen_nb

No logro pasar la prueba y "se me han acabado" las ideas.

he metido un .png con XSS, he codificado los caracteres, he probado modificando el input "prot" y no veo por dónde atacarle ya que el primer campo codifica los caracteres < y > a &lt; y &gt;, también & y # por lo que la codificación a html entities tampoco me funciona,  los otros campos al parecer hacen un escape de los caracteres especiales que metes, por lo que tampoco me funcionan <>/() etc ni ninguna codificación.

Ya no sé por dónde meterle mano, alguna pista? :P. Me queda mucho que aprender en vulnerabilidades web pero me interesa bastante.
Human knowledge belongs to the world

AlbertoBSD

Muchas veces cuando estas en una situacion real, siempre tienes que saltarte los formularios proporcioandos por la web  :rolleyes:.

Me refiero puedes meter datos desde otros Lugares, Suerte

Saludos.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

orphen_nb

Sip, para modificar el campo prot he usado el achilles, pero tampoco me ha funcionando :S.

Gracias por la pista, pero sigo sin saber por dónde meter mano porque el achilles ya lo he usao xD. No sé si te referías a eso...
Human knowledge belongs to the world

AlbertoBSD

Si mas o menos a eso, cualquie editor de cabeceras o cualquiera que te mermita editar los metodos GET y POST antes de enviarlos estabien.

Hasta con nc puedes pasar la prueba.

Saludos.
Donaciones
1Coffee1jV4gB5gaXfHgSHDz9xx9QSECVW

orphen_nb

Gracias ya lo he pasado! :). Aunque no entiendo muy bien su funcionamiento pero te pregunto por pm mejor si no te importa xD.
Human knowledge belongs to the world

matux

He estado tratando de modificar el encabezado para pasar está prueba utilizando los addons Live Http headers de firefox, pero todavía no puedo.

El problema es que veo las variables pero no los veo relacionadas a ningún elemento del encabezado, tienen algún  link donde pueda econtrar información sobre modificar variables de eventos post en los encabezados, he buscado en google y no en encontrado.

WHK

No necesitas modificar nada, solo pon tu xss y listo pero si quieres buscar eso que dices busca el modify headers o el tamper data.

Nakp

por cierto... el xss pasa por 2 formas, busque una 3ra pero creo que no existe y azielito se adelanto al encontrar la 2da, aunque no se cual es la que encontró y cual era la que funcionaba xD

salu2
Ojo por ojo, y el mundo acabará ciego.

WHK

Ahora que me doy cuenta bién no existe ningún reto llamado hack web xss, estuve mirando y solo está la de cross, site, foro y creo que esas tres son las únicas pruebas de xss pero no hay ninguna llamada así.

Nakp

se refiere a cross creo.. por lo de la imagen xD

fijate en el combo :-X
Ojo por ojo, y el mundo acabará ciego.