lunes, 16 de julio de 2012

Cross Site Scripting in the Cloud


Debe de ser esa oleada tan asfixiante de calor, las tardes pegados a la cerveza y las mozas escotadas que pasean por la Gran Vía de Madrid, las que influyen en que en esta época, no tengamos término medio. Desvariamos hasta el punto de terminar en los bares bajo la sombrilla o en la casa abrazados al aire acondicionado.

Otra de las cosas a destacar del verano, es la parsimonia... esos cinco segundos de boquilla, que se convierten en treeeeeeeeiinta largos minutos, debidos al sofocante calor que se respira, hacen que nuestro día parezca vacío. Pausado, como si el tiempo adormecedor fuera hecho adrede, mientras nos encontramos con ganas de que llegue el siguiente día para estar aún más sosegados, no olvidamos y con recelo vemos como se termina el verano.

Por este motivo, nació esta entrada.

Con ganas de romper el tópico, me siento en la silla para contarles algo que todo el mundo sabe, como siempre... ¡nada nuevo! Esta vez algo relativo a los Cross Site Scripting, aunque con una graciosa denominación in the cloud xD


Esta tarde preparaba algo de temario para montar futuros cursos y no quedarme sin reservas, ni más ni menos que algún ejemplo real de una de las vulnerabilidades web más conocidas, el RFI. Esa inclusión de ficheros externos, permitida desde un parámetro vulnerable, suele tener gracia cuando nuestra Shell, es interpretada por la aplicación en cuestión. En caso de no ser así, siempre queda la oportunidad de intentar hacer una inyección de código HTML o de SCRIPT.

Jugando un rato con el hostin de malware que nos permitía SkyDrive y un acortados de URL, siempre queda tiempo para hacer publicidad impresa en los XSS.


Aunque nada más majestuoso como un robo de cookies, pues ya vimos algo más detallado en la famosa página de ligues.


Haciendo las pruebas sobre Google Chrome, para que quede claro como se hace un buen bypassing a los filtros Anti-Cross Site Scripting. De esta forma, podremos explotar la vulnerabilidad en todos los navegadores... ;)


Posiblemente en algunos casos, la inclusión sea más compleja que la de agregar a un archivo de texto, un SCRIPT con “document.cookie” dentro de una alerta. Como en el siguiente caso, en el que necesitaremos un cuerpo bien definido en HTML, para que la página coja ciertos campos para mostrarlos... aunque esto no impide que llevemos a cabo nuestra maligna idea.


Una vez subido a nuestro servidor de Skydrive y acortado, se verá así de chulo.


Sin olvidarnos de la ejecución de malware en Javascript, como la conocida botnet de Beef.

¡Buenas noches a todos! Y como siempre...

Saludos 4n4les! ;)

10 comentarios:

  1. Ya estaba esperando una nueva entrada en tu blog :D.

    tengo una duda en la cuarta imagen(en la que muestra el código fuente de tu txt), ¿por que colocas las etiquetas de esa forma? ¿no es erroneo?

    XLoco.

    ResponderEliminar
    Respuestas
    1. Hola XLoco!

      Simplemente utilicé la forma en la que mostraba el contenido la propia página web, ya que en esos metas se incluía cierta información necesaria para que mi script fuese interpretado.

      Un Saludo! ;)

      Eliminar
  2. Nuu maaa esta de putas tu POST mi buen, enserio me gusta cada entrada tuya y no terminas de sorprendernos con ejemplos tan explicitos.

    Saludos bro sigue asi, un saludo desde México.

    00-001

    ResponderEliminar
    Respuestas
    1. Muchas gracias 00-001! vaya un nombre raro el tuyo! jejej

      Un Saludo! ^^

      Eliminar
  3. Germán esperamos la próxima entrada! (L)

    Z3R0N3, yo también encontré ese XSS xD, es la web ideal jiji

    Un saludo!

    ResponderEliminar
  4. nss:92887087283
    nip:10293847
    NUMERO DE REGISTRO: 9160687961
    quien se animaa realizar la llamada :
    los datos son:http://consultas.curp.gob.mx/CurpSP/curp1.do;jsessionid=vXnlQhxJyQLvvTQGGQTs1rZBR7ylSCZr1pLJGZVnf2XJKX29FKBL!1144446495?strPrimerApellido=CID&strSegundoAplido=ESPINOZA&strNombre=GENARO&strdia=09&strmes=02&stranio=1970&sEntidadA=MC&sSexoA=H&strTipo=A Y : GENARO CID ESPINOZA
    Edad: 42 años Lugar y fecha de nacimiento: Atizapán de Zaragoza Edo. De Mex. - 09/febrero/1970
    RFC: CIEG700209 Clave de IMSS: 9288708728-3
    Calle 20 de Nov. #43 Colonia La Perla: Cuautitlán Izcalli Estado De México.
    Teléfono móvil: (044) 55-14-45-76-28. Teléfono particular: 58-73 85-03
    genaro.cid@hotmail.com


    aqui esta la pagina:

    https://afore.inbursa.com:4013/PortalAfore/do/LoginAction;jsessionid=mP1yQhnN4XQ5rJvB7lFQ8TDYPvpyCF31SdhJPyC5HvhscZhP3N2t!-687657045

    ResponderEliminar
  5. http://www.servitec.com.pe/hack.txt
    http://entercssl.com/archivo/hack.txt

    ResponderEliminar
  6. http://www.dodsmonitoring.com/home/index.php?referer=%22%3E%3Cscript%3Ealert(document.cookie)%3C/script%3E

    es muy facil encontrar los xss no???
    esta es una cookie de sesion.

    ResponderEliminar