elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Informática
| |-+  Tutoriales - Documentación (Moderadores: r32, ehn@)
| | |-+  Seguridad en los foros (o falta de ella)
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Seguridad en los foros (o falta de ella)  (Leído 9,828 veces)
~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Seguridad en los foros (o falta de ella)
« en: 15 Junio 2006, 15:57 pm »

Hola a todos:

Acontinuación voy a colgar un pequeño manual en el que se explica como aprovechar los numeros bug's con los que cuentan muchos foros y asi entender como algunas personas llegan a hacer un "deface".

Espero que tras leerlo no comenceis a jorobar los foros de todo el mundo (eso es algo realmente estupido) este manual SOLO vale para aprender.

Hiré ampliando la información segun pueda, y os invito a colaborar y colgar los agujeros de seguridad que conozcais par hacer asi entre todos un buen manual.

Salu2


En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Seguridad en los foros (o falta de ella)
« Respuesta #1 en: 15 Junio 2006, 16:00 pm »

Powered by phpbb 2.0.11

Lo pimero que tenemos que hacer es encontrar algun foro de este estilo, para ello usamos el omnipotente google y ponemos "powered by phpbb 2.0.11" si veremos un gran numero de foros vulnerables.

Par poder lograr nuestro objetivo necesitamos un modificador de cookies, el iecv (IECookiesView), borramos todas las coockies que tengamos en ese momento y entramos en un foro.

Al hacerlo recibiremos una cookie que debemos modificar, clikamos sobre ella en la pantalla de arriba y abajo deberia aperecernos un stick verde con una frase que contenga "mysql" (aviso ahora para  decir que no todos los foros son vulnerables, debereis buscar alguno que sea bastante simple) donde diga "mysql" damos boton derecho y Edit the Cookie's Content.

Luego en la pantalla que nos salga donde diga "value" ponemos a:2:{s:11:"autologinid";b:1;s:6:"userid";s:1:"2";}
de esta manera transformamos nuestra cookie en la del admin.

Ahora cerramos el internet explorer (es recomendable usar este navegador y no otro), volvemos a entrar  en el foro con el que estabamos y abajo veremos un vinculo al panel de administrador.

De esta forma ten simple podemos burlar la seguridad de un foro.

Salu2


En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Seguridad en los foros (o falta de ella)
« Respuesta #2 en: 15 Junio 2006, 16:02 pm »

Powered By vBulletin 3.5.2

De nuevo buscamos en google posibles "víctimas" poniendo "powered By vBulletin 3.5.2".

Una vez accedamos a el nos fijamos el su dirección en internet:
Ej --> www.miforo.com
A continuación debemos intruducir un exploit:

Código:
Exploit: install/upgrade_300b3.php?step=backup


Y en la barra de dirección nos tendría que aparecer www.miforo.com/install/upgrade_300b3.php?step=backup
le damos a ir o a la tecla de enter y nos aparecera una ventana desde la que podremos descargarnos los nombres de los usuarios con sus hashes (incluido admin).
Ahora solo queda descifrar la hash y ya esta xD.

Salu2
En línea

cypresshill1973

Desconectado Desconectado

Mensajes: 1


Ver Perfil
Re: Seguridad en los foros (o falta de ella)
« Respuesta #3 en: 30 Agosto 2006, 22:11 pm »

Hola...

Segui tal cual los pasos para entrar al panel como admin de un foro  phpbb 2... El tema es que aparentemente me banearon o bloquearon... Ellos dicen que es problema del servidor, pero se que no es asi.

La idea es revisar yo mismo que pasa.

No me aparece ningun panel, solo un enlace que siempre esta a una pagina de configuracion. Pero aqui e pide un password para ingresar cambios o algo.

Como es???  es posibre entrar??? O habilitarme nuevamente???

Salu2

En línea

~~
Ex-Staff
*
Desconectado Desconectado

Mensajes: 2.981


Ver Perfil WWW
Re: Seguridad en los foros (o falta de ella)
« Respuesta #4 en: 31 Agosto 2006, 00:34 am »

Hola:

Si, ya dije q no todos los foros son vulnerables, algunos los han actualizado y ahora piden pass  :(
Necesitas conocer el pass para entrar en la configuración (eso ya os lo dejo a ti y a google xDDDD)

1S4ludo
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Foros seguridad informática?
Seguridad
gregory90 2 2,471 Último mensaje 7 Junio 2011, 01:18 am
por gregory90
Seguridad en foros
Seguridad
Arkanth 1 1,992 Último mensaje 24 Diciembre 2013, 20:58 pm
por r32
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines