Comunidad Underground Hispana  

Retroceder   Comunidad Underground Hispana > Phreaking, Hacking y Seguridad > HacK GeneraL


Respuesta Crear Nuevo Tema
 
Compartir en twitter LinkBack Herramientas Desplegado
Antiguo 14-jun-2009, 16:03   #1
Gran Colaborador
 
Fecha de Ingreso: noviembre-2008
Amigos 0
Mensajes: 1.526
Gracias: 0
Agradecido 10 veces en 7 mensajes.
Predeterminado [Tutorial] HTML Injection by ViRtUaLhAcK


HTML Injection

by ViRtUaLhAcK







__________________________________________________ ________________________________________________



1. Que es HTML Injection?



Bueno, supongo que sabreis que es el HTML no? Pues un lenguaje de programacion web, por supuesto.



Cita:
Iniciado por wikipedia
HTML, siglas de HyperText Markup Language (Lenguaje de Marcas de Hipertexto), es el lenguaje de marcado predominante para la construcción de páginas web. Es usado para describir la estructura y el contenido en forma de texto, así como para complementar el texto con objetos tales como imágenes. HTML se escribe en forma de "etiquetas", rodeadas por corchetes angulares (<,>). HTML también puede describir, hasta un cierto punto, la apariencia de un documento, y puede incluir un script (por ejemplo Javascript), el cual puede afectar el comportamiento de navegadores web y otros procesadores de HTML.


Es el lenguaje base para hacer paginas web estaticas, lo que es bastante importante.



Entonces el HTML Injection va de inyectar codigo HTML en otras paginas web (al igual que scripts en JS [JavaScript]), aprovechando una vulnerabilidad.



_________________________________________________



2. Por que ocurre esto?



Pues porque un descuidado admin no filtro adecuadamente las etiquetas html permitiendo este tipo de ataques.





2.1. Por donde se ataca?



Pues al ser inyectar code html lo normal es por un campo de texto, casi siempre en muchos libros de visitas o tagboards hechos por aficionados a la programacion.



_________________________________________________



3. Son todos vulnerables?



Pues logicamente NO. Ya he dicho que solo se produce cuando aparece el mal filtrado de las etiquetas.





3.1. Como encontramos una vulnerable?



Pues podemos usar dorks o simplemente ir probando por los libros. Entonces utilizaremos algunos dorks con nuestro amigo Google; podemos buscar cosas asi:

Código:
 
Libro de Visitas
 
allinurl:guestbook.php
 
allinurl:libro-visitas.php
 
allinurl:visitas.php
 
etc.
  
O buscando cosas como Codigo HTML activado...



Bueno, al fin entramos a una web con Libro de Visitas.





3.2. Como comprobamos si es vulnerable?



Pues directamente metiendo un code (que no haga nada malo, para que no desconfie nadie). Aqui pondremos en practica nuestros conocimientos sobre HTML.



Escribamos en el Libro, por ejemplo:



Código:
<h1>Hola
  
Y si nos aparece la palabra Hola muy grande es que es vulnerable.



Código:
<marquee>Hola</marquee>
  
Y si nos aparece la palabra Hola moviendose de un lado a otro es que es vulnerable.



_________________________________________________



4. Empecemos a divertirnos! (Y)



Bieen! Ahora podemos divertirnos y hacer maldades, o ser buenos y avisar al admin :



Yo casi que me decido por la primera.. : ;D



Podemos llenarle la pantalla de cosas escritas en grande, de TODO! Si tienes conocimientos sobre HTML te vas a divertir mucho, y si tienes sobre JavaScript mucho mas aun..



Por ejemplo escribamos:

Código:
<script>alert('HTML Injection by ViRtUaLhAcK')</script>
  


Magia! Aparecio un MsgBox con el mensaje HTML Injection by ViRtUaLhAcK!



Veis de que va el rollo? ;D 8)



Podemos insertar imagenes, etc.. pero lo mejor:





Algo muy bueno tambien es montarnos un index con un deface y subirlo a una web.. e imaginemos que la URL es asi:

Código:
http://www.mideface.com/index.html
  


Entonces solo tenemos que insertar lo siguiente en el libro de visitas..



Código:
<META HTTP-EQUIV="refresh" CONTENT="1; url=http://www.mideface.com/index.html">
  


..y directamente el Libro de Visitas se nos redireccionara a nuestro index!





Y bueno, a partir de aqui haced lo que mas os guste!



__________________________________________________ ________________________________________________



Espero que os haya gustado este simple tutorial, comunidad!!

Lo tenia por ahi guardado desde hace tiempo y no lo posteara aqui..jaja

Saludos!! =)
__________________



xassiz está desconectado   Responder Citando
Antiguo 14-jun-2009, 16:06   #2
Vzla - Jhon
Guest
 
Amigos
Mensajes: n/a
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Me gusto y eso que no le meto al Kackin

Buen tuto
;D
  Responder Citando
Antiguo 14-jun-2009, 16:08   #3
Gran Colaborador
 
Fecha de Ingreso: noviembre-2008
Amigos 0
Mensajes: 1.526
Gracias: 0
Agradecido 10 veces en 7 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

jeje gracias pero ya hace tiempo q lo hise jaj

Saludos
__________________



xassiz está desconectado   Responder Citando
Antiguo 14-jun-2009, 21:27   #4
Sin nick T_T
Guest
 
Amigos
Mensajes: n/a
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

xD esta bueno para joder los pobres libros de visitas de las webs, mas q todo el tutorial es para los q se inician en el defaced.

Te quedo exelente ;D ;D

xDDDDDDDDDDDDDDDDDD

Dios los Bendiga Dios los Ama

Bytez
  Responder Citando
Antiguo 27-jun-2009, 19:02   #5
Miembro
 
Fecha de Ingreso: marzo-2009
Amigos 0
Mensajes: 108
Gracias: 0
Agradecido 1 vez en 1 mensaje.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

CHE ME AYUDAS CON UN DEFACE YA LEI BASTANTE PERO NO ME SALE :S BIEN
__________________
http://ceibes.com/wp-content/uploads/2008/01/esto-es-un-foro-no-un-puto-movil.jpg
Ov3rDriV3 está desconectado   Responder Citando
Antiguo 27-jun-2009, 20:58   #6
DICIPLE
Guest
 
Amigos
Mensajes: n/a
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

las mayusculas estan demas y aqui nadie te va a ayudar a hacer un deface ademas que podrias abrir un post si nesesitas ayuda o tenes dudas.

  Responder Citando
Antiguo 28-jun-2009, 09:12   #7
Banned
 
Fecha de Ingreso: noviembre-2008
Amigos 6
Mensajes: 4.313
Gracias: 0
Agradecido 46 veces en 29 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

VH, cuando hago eso no se me queda la página.

Osea no entiendo mucho, abro la pagina en cuestion y no le pasa nada, voy a probar de nuevo.
P4|3L0 está desconectado   Responder Citando
Antiguo 28-jun-2009, 11:57   #8
Gran Colaborador
 
Fecha de Ingreso: noviembre-2008
Amigos 0
Mensajes: 1.526
Gracias: 0
Agradecido 10 veces en 7 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Cita:
Iniciado por P4|3L0
VH, cuando hago eso no se me queda la página.

Osea no entiendo mucho, abro la pagina en cuestion y no le pasa nada, voy a probar de nuevo.
No entiendo P43L0...

explicate mejor
__________________



xassiz está desconectado   Responder Citando
Antiguo 28-jun-2009, 15:08   #9
Banned
 
Fecha de Ingreso: noviembre-2008
Amigos 6
Mensajes: 4.313
Gracias: 0
Agradecido 46 veces en 29 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

OK, tengo una página ok

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

(no es pornoxD) vale, y tiene una entrada de datos no filtrada, que resulta que es una busqueda y me permite poner <b>pablos</b> en negrita.

Y cuando pongo lo de la redirección me redirecciona y cuando vuelvo a entrar en

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

todo sigue igual
P4|3L0 está desconectado   Responder Citando
Antiguo 28-jun-2009, 15:59   #10
Gran Colaborador
 
Fecha de Ingreso: noviembre-2008
Amigos 0
Mensajes: 1.526
Gracias: 0
Agradecido 10 veces en 7 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Pero eso ya no seria html injection, porque lo que yo explico es por ejemplo en un libro de visitas cuando envias informacion a la web, y esta se incrusta en el codigo fuente de la pagina.

Lo que tu dices, seria XSS.. y para defacearla por completo solo podrias mediante robo de cookies.. ;D

Saludos
__________________



xassiz está desconectado   Responder Citando
Antiguo 28-jun-2009, 16:02   #11
Banned
 
Fecha de Ingreso: noviembre-2008
Amigos 6
Mensajes: 4.313
Gracias: 0
Agradecido 46 veces en 29 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Entonces ajo y agua..
P4|3L0 está desconectado   Responder Citando
Antiguo 07-jul-2009, 12:08   #12
Banned
 
Avatar de xaOs
 
Fecha de Ingreso: julio-2009
Ubicación: 127.0.0.1
Amigos 1
Mensajes: 342
Gracias: 0
Agradecido 44 veces en 24 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Si abre hecho inyecciones jajajajaja
Sobre lo que tu dices PA|3lo, no ocurre nada porque se el codigo html se ejecuta solo en tu navegador.
Esto sirve para foros, libros de visitas, tagboards, donde cuando inyectas el codigo se adhiere al codigo fuente y se ejecuta en la PC de todos los que entren.
xaOs está desconectado   Responder Citando
Antiguo 07-jul-2009, 12:56   #13
wscalle1
Guest
 
Amigos
Mensajes: n/a
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

ee esta muy bueno yo me kiero meter a aprender esto del deface y todo esto
muy buen tuto me sire para empesar y familiarizarme
  Responder Citando
Antiguo 09-jul-2009, 15:20   #14
Habitual
 
Fecha de Ingreso: agosto-2008
Amigos 0
Mensajes: 172
Gracias: 0
Agradecido 2 veces en 1 mensaje
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Esta muy bien y eso pero estos tutos estan mas vistos que el rey, ¿porque coño no hacen un tuto de deface a una web 100% html y sin buscadores ni leches de esas.? Son aparte de muy comunes muy indesfaceables porque nadie sabe... tngo entendido que es con shells y todo eso...
__________________

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

Hacker_noob está desconectado   Responder Citando
Antiguo 10-jul-2009, 15:18   #15
Habitual
 
Fecha de Ingreso: junio-2009
Amigos 0
Mensajes: 197
Gracias: 0
Agradecido 3 veces en 3 mensajes.
Predeterminado Re: [Tutorial] HTML Injection by ViRtUaLhAcK

Cita:
Iniciado por Hacker_noob
Esta muy bien y eso pero estos tutos estan mas vistos que el rey, ¿porque coño no hacen un tuto de deface a una web 100% html y sin buscadores ni leches de esas.? Son aparte de muy comunes muy indesfaceables porque nadie sabe... tngo entendido que es con shells y todo eso...
Bueno esto es mas que una iniciacion amigo!!! Y los demas que veras por alli son de inicio, pero que puedas ver las vulnerabilidades de una page sin necesidad, de inyectar con un lenguaje o herramientas!! Es otra cosa, ya eso te lleva mas a abrir tu mente y obsesionarte con acceder a ese servidor de la page!!!

Tu teoria esta bn pero hay diferentes tipos de Shells, asi que nadie de los grandes que saben hacer lo que tu pides, podra facilitarte el aprendizaje haciendote un tutorial para que aprendas!


Hay que abrirse camino uno solo y tener silencio, etica, madurez, y muchos valores para no alardear con lo poco que se sabe.


Saludoooos. xD!



__________________
<br />
<br />[center]

[Solo usuarios registrados pueden ver los links. REGISTRARSE]

Sesshomaru está desconectado   Responder Citando
Respuesta

Herramientas
Desplegado

Normas de Publicación
No puedes crear nuevos temas
No puedes responder mensajes
No puedes subir archivos adjuntos
No puedes editar tus mensajes

Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks están Activado
Pingbacks están Activado
Refbacks están Activado



Temas Similares
Tema Autor Foro Respuestas Último mensaje
Injection HTML typ3r82 HacK GeneraL 1 04-dic-2009 12:01
Son vulnerables a HTML injection??? percho27 HacK GeneraL 4 19-jun-2009 15:41
[G]{Tutorial:PDF} "Empezando en Batch" by ViRtUaLhAcK xassiz Batch 7 09-mar-2009 08:35
Técnica: Html Injection ManCuerTex HacK GeneraL 27 24-jul-2007 22:56
HTML Injection 3l-Kr4k Cursos, Ezines y Textos Hacking 0 02-nov-2005 15:19



Portal Hacker
Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2014, Jelsoft Enterprises Ltd.
SEO by vBSEO 3.6.0