27 de junio de 2008

Injectando código html o como saltarte restricciones en permisos

Bueno estaba yo alegremente jugando en la web, cambiando de tema vreel ya han abierto, cuando me dí cuenta que podía inyectar código html en el buscador de cierto website. Bueno el tema es que también le pase el nikto a ver que chapuza tenían montada y tal. Pues habían varias carpetas que desde el navegador no te permitía visualizarlas porque decía que no tenias permisos. Pues casi probando por probar, descubrí como acceder a esas carpetas inyectando un poco de código html que me daban permisos iguales al de la web :D

Con este sencillo truco que descubrí, ya se puede hackear los putos captchas, ya que puedes visualizar toda la carpeta y todas las imágenes, ya es solo cuestión de paciencia asociar un .png con su código.

" abir metatag -> meta equiv="refresh" content="1;url="http://sitiowebvulnerable/carpetasecretaoprotegida">" cerramos meta tag

No me deja publicar el código html aquí, pero bueno buscad en cualquier sitio (google ¿? ) como se usa el meta equiv="refresh" ;)


Realmente curioso truco, peligroso y útil.


No hay comentarios: