Nueva red social al parecer primeramente impulsada por el periodico 20minutos…
Pero como todas las redes sociales la seguridad no es cuestión de ellos… XSS, SQL, RFI… hoy os traigo un simple XSS para quedarnos un poquito con las cuentas de estos chicos taaan majo ¿Alguien se pide la administradora?
http://www.nettby.es/user/zoom.php?photo_url=[XSS]
¡Un saludo!
Con tanto Drama por parte de Google de ayudas al tercer mundo, que realmente me parece más que lo hagan para darse promoción ellos mismos a su aplicación CheckOut, que está quedando Obsoleta ante Paypal.
Pues si entramos en:
http://www.google.com/intl/es/relief/chileearthquake/
Veremos que tenemos un pequeño Banner de busquedas de personas que pertenece a:
http://chilepersonfinder.appspot.com/ Perteneciente a: https://appengine.google.com/
Pues podemos ver que en la variable de idioma ‘lang’ no se encuentra filtrada:
Bueno, encontré un pequeño XSS parcial en la parte de invitaciones web, esto se permite por un mal escape (realmente penoso) de la variable email (se envia por POST), curiosamente en el enlace “editar la invitación” si está escapada bien (si es que estos de tuenti, menos jugar y más progamar):
El code usado: seguridad@dimitrix.es<br><img src=http://i214.photobucket.com/albums/cc173/dimitrix-es/dexter.png>
Un saludo y gracias por leerme a todos!
Seguro que todos habreis visto por Internet un montón de páginas que os piden poner vuestro número de teléfono, bien, te venden de todo, desde canciones hasta horoscopos, legalmente necesitan una aceptación y que sea tuyo el número de teléfono, para ello, ellos envían un SMS con un código al número que le indiques, pero… ¿Y si no es tu móvil?
Como es lógico, habrá un número máximo de SMS que envien (al día), el problema es que ese número va desde 5 hasta ningún límite (realmente hay páginas que no les vi nunca el límite).
Pero claro… no vamos a estar todo el rato, haciendo un ridículo test o poniendo el nombre de nuestra/o chica/o, la verdad es que no hace falta ya que en estos servidores también está abierto el GET, así que en vez de poner cada vez el número de teléfono que queremos bombardear, lo podremos dejar en algo así:
http://www.servidor.com/send.php?mode=signup&phone=6********
Genial, ahora nos ha quedado una URL que cada vez que la visitemos estaremos enviando un SMS, así que ahora sólo queda automatizar esto, para ello iremos a:
http://seguridad.dimitrix.es/index.php/multivisitas/
Con esta herramienta ponemos la URL y las veces que quieres que se envíen el SMS y listos.
Ahora colocaré dos páginas vulverable (son todas de este tipo):
Flycell (Límite 25 SMS):
http://www.flycell.es/offer/index.php?mode=signup&ref=\&smsId=510&object=000000^000&termsAccept=1&x=28&y=22&phone[]=6********
SMS-Gratuito (Límite 5 SMS):
http://www.sms-gratuito.es/subscribe.php?telemovel=6********&operator=movistar&telemovel_destino=61234578&mensagem=%22%3E
———————————————
Recordar, que esto es sólo informativo, no queremos que hagais nada malo chicos 
Bueno para empezar el año os quería preparar una serie de XSS en distintas webs de partídos políticos, pero por la escasez de tiempo no he podido profundizar en este tema, así que os dejo estos dos:
PSOE
El primer XSS se encuentra en la parte de Suscripciones y aunque en realidad se centra en uno, hay muchos.
http://www.psoe.es/generic/subscription.do?action=Password&type=newsletters&href=[XSS]
Otra cosa que encontré “escarbando” en la web del psoe es el panel administrador de tal:
https://www.psoe.es/generic/login_private.jsp
Y por último en el código fuente del panel administrador podremos ver un comentario de un botón entrar que pone “entrar-rojo”
ESPAÑA 2000
En la web de España 2000 queda un XSS muy muy viejo, que aunque ha cambiado la web, se puede acceder igualmente:
http://www.esp2000.org/v3/foto_grande.php?recordID=2862&cuerpo_img=[XSS]
Como curiosidad en la web de España 2000, si creamos un error en la web con por ejemplo el famoso “> aparecerá de título: “Welcome to the Frontpage”
http://esp2000.org/index.php?page=shop.brow%22%3Ese&category_id=5&vmcchk=1&option=com_virtuemart&Itemid=1
Saludos y hasta la próxima!
Bueno, como ya sabreis la SGAE ha creado una lista con 200 webs que ellos opinan “Ilegales” que quieren cerrar sin órden judicial, y bueno como no tienen muchos cojones no la han publicado, pero como supongo que por cojones mi web (buscardescargas.com) está ahí, pues he decidido darle las gracias cambiando los colorines de su web:
Click en la imagen para ver en grande
El XSS lo he encontrado en la zona “Recomiendanos” (se ve que no clickea ahí mucha gente…)
http://www.sgae.es/jsp/email-es.jsp?link=[XSS]
PD: Os recuerdo lo que pasó cuando me denució la última vez el gobierno:
http://seguridad.dimitrix.es/?p=6
Buenos chicos, recordad ser malos con esta gente!
Dejando de un lado los fallos de Tuenti, que son tantos que nunca terminaría, voy hablar un poco sobre la seguridad de los bancos, exactamente de tres bancos, como no puedo dar los nombres originales de los bancos, os diré sus nombres “parecidos”, estos bancos sobre los que hago este post son: Ernesto, La caiza y Bancasa.
Bueno, pues es curioso que en el sigo XXI, un crio de menos de 20 años sea capaz de saltar la seguridad de estos tres bancos y lo gracioso es que no tardé más de 1h desde que me puse para cada banco. Hay tres fallos.
- En un banco, (como en la mayoría), tiene la mania de utilizar sms para avisarte de cosas, el único problema para esto es que puedes falsificar tanto el remitente como el mensaje, así que a ver si recibes un mensaje sinque te haga mucha gracia y te jode pero bien listo… por lo menos, en esto pierden dinero ellos y no nosotros.
- En el segundo banco, bueno, nada importante, simplemente tienen un XSS como si la página fuera creada por el hijo del director… penoso, recuerdo que con un XSS se puede hacer Injencción de código HTML, formularios falsos, etc…
- En el tercer banco, menos importante, simplemente puedes sacar el código PIN de las tarjetas de débito/crédito, nada, por si eres vago y no te apetece ir a la oficina, crackeas el sistema y listo!
Bueno, con esto termino el post… y recodar que no hay que fiarse de nadie ni nada!
ATT: Dimitrix
* Guía de SPAM para Tuenti: Aquí veremos como poder conseguir ser un buen spammer y hacer llegar la publicidad a todas partes mediante los eventos, ya sabeis, eso de “Publicidad Free”, que aunque aquí no se usará ningún fallo (bueno, uno pequeño), será muy útil para lanzar una web o para lo que uno quiera.
* Invitaciones, invitaciones para todos: Aquí veremos como registraros “a nuestro modo” sin invitaciones de Tuenti, por que nosotros… somos más chulos que nadie!
Ante todo, hola y gracias por leerme!
Bien, con esto lo que pretendo es “Que se cambie solo el estado del tuenti” cada 15 minutos por ejemplo o cuando quieras.
Para eso yo usaré el siguienten código PHP junto con el Cron (el que viene con muchos servidores) que mande la petición cada 15 minutos, aunque también podeis hacerlo con cualquier otro programa, bueno, antes de mirar el PHP os digo que neceistareis la cookie “msid” de la versión movil de tuenti, es decir http://m.tuenti.com (entrar con firefox) y la variable csfr (se puede encontrar en el código fuente de la página principal normal, si no sabeis, preguntar):
<?
$val = rand(1, 5);
if ($val == “1″) {
$sta = “Estoy genial”;
} elseif ($val == “2″) {
$sta = “no quiero mas eventos”;
} elseif ($val == “3″) {
$sta = “nooooo”;
} elseif ($val == “4″) {
$sta = “Sandraaa la mejorr”;
} elseif ($val == “5″) {
$sta = “MUAKA”;
} else {
$sta = “na de na”;
}
$string = “msid=NjUwMzM2zETgzMzczQ6MTI1NTk4DE5OQ”;
$ch = curl_init();
curl_setopt($ch, CURLOPT_URL, “http://m.tuenti.com/?m=profile&func=process_set_status&from=home&csfr=******”);
curl_setopt ($ch, CURLOPT_POSTFIELDS, “status=”.$sta);
curl_setopt($ch, CURLOPT_COOKIE, $string);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, TRUE);
$text = curl_exec($ch);
curl_close($ch);
die($text);
echo(”Programado por Dimitrix”);
?>
Como el código es muy simple no estaré horas explicándolo, simplemente decir que cambiamos las 6 frases que son los “estados que saldrán aleatoriamente” y cambiar el estado de la variable “msid” por la vuestra los asteriscos de la URL por vyestra variable “csfr” y ejecutarlo y listo!
El funcionamiento
El programa lo que hace es enviar una petición con tu cookie a http://m.tuenti.com/?m=profile&func=process_set_status&from=home&csfr=****** con una frase aleatoria de las 5 que hay primero puesta (la sexta es más bien para hacer bonito en caso de que el cielo se caiga! xD)
Si lo vais a poner en otro foros por lo menos decir la web del autor o el nombre de tal (Dimitrix)
Un saludo y pronto mucho más.
Bien, aquí les muestro un XSS en la web de NIC (Es la empresa oficial de dominios del gobierno de españa)
El XSS se encuentra en cuando se quiere hacer un WHOIS a un dominio
https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=[XSS]
Por ejemplo:
https://www.nic.es/esnic/esn/verValidacionWhoisAction?dominio=”><br><img border=”0″ src=”http://i214.photobucket.com/albums/cc173/dimitrix-es/XSS and Others/DimitrixHack.png” width=”493″ height=”371″><big>PUTA LEY!
Diría que no es nada personal, pero quizás sea por la multa de medio millón de pesetas que me han puesto 
Clickea en la imagen para hacerla en grande.
