http://0745eb15.ngrok.io

1

tenemos un enlace de información http://0745eb15.ngrok.io/info.txt

Hoy estamos delante de un reto de cross site scripting, en principio parece sencillo, ¿verdad? … ahora vamos a ver que no es así, va moa a realizar una inyección del todo común: alert(“Hackmaister”)

2

 

pero vemos que da error

3

aún así saquemos una conclusión… es un xss reflejado, vamos a ver que refleja la query cuan lo inyectamos caracteres, comenzaremos con alt + números : \|@#~€¬

4

aquí no vemos nada raro, vamos a inyectar la query :  ª!”·$%&/()=?¿

Respuesta : ª!”·$>&/))[?¿ –> en naranja los                                                                                                                                      cambios de la respuesta

5

probemos ahora la query : <>

Respuesta : __SECURE__–> en naranja los                                                                                                                                      cambios de la respuesta

6

probemos la query : 1234567890

Respuesta : 123(56789El 0 No; bypasse con  1 🙂 –> en naranja los                                                                                                                                      cambios de la respuesta

ent0nces sacamos la conclusion de que modificando los caracteres inyectables obtenemos esta query : >sript%4″hacmaister”(>/sript% , probemos

8

con esto ya hemos completado el reto, nos vemos en el siguiente.

 

Anuncios