elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Análisis del vídeo del hackeo al Sindicato de los Mossos de Esquadra


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Bugs y Exploits
| | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | |-+  GitHub como vector de ataque
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: GitHub como vector de ataque  (Leído 2,569 veces)
Shell Root
Colaborador
***
Desconectado Desconectado

Mensajes: 3.846



Ver Perfil WWW
GitHub como vector de ataque
« en: 11 Agosto 2016, 20:07 »

GITHUB COMO VECTOR DE ATAQUE

Una vez auditando un sistema me encontré una cuenta en GitHub la cual contenía el código fuente de la aplicación, la cuenta era estándar así que se podía clonar y auditar directamente analizado el código en un entorno controlado. Esto me dio la idea de ver cuántas personas guardaban credenciales o información privada que ayudara a ingresar fácilmente en los sistemas/aplicaciones/plataformas. Esto fue lo que encontré:

Encontré una empresa la cual ofrece servicios de: Desarrollo Web, Aplicaciones Móviles, Soluciones Empresariales, Software a la Medida. Esta empresa utiliza una cuenta den GitHub donde publica los código fuentes de los servicios prestados.

Seleccione un repositorio e inicialmente vi que era un CMS Joomla, entre al archivo configuration.php, y vi los parámetros para la conexión a la base de datos.


Con HeidiSQL ingrese las credenciales y sorpresa!


Se pueden encontrar credenciales de correo electrónico, como por ejemplo:


Entramos al Gmail y sorpresa!


Se pueden encontrar archivos de SQL con las credenciales


No dispongo de mucho tiempo, pero ya alguien mas aportará de las cosas que se puede llegar a hacer con esos descuidos. Provechen y feliz Hack!
En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 4.043


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: GitHub como vector de ataque
« Respuesta #1 en: 11 Agosto 2016, 21:18 »

Excelente aporte. Gracias por compartir.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

+ 1 Oculto(s)

Desconectado Desconectado

Mensajes: 299


un defecto se puede convertir en una virtud


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #2 en: 12 Agosto 2016, 01:47 »

te bajaste todo el software e hiciste corren con heidisql?
En línea

magodiesan

Desconectado Desconectado

Mensajes: 189


ART.EST.IMPERIUS.ORBIS.UNIVERSUS


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #3 en: 12 Agosto 2016, 01:53 »

Que ingenioso eres amigo, muy buen hacking!!!!
En línea

Arte Es El Imperio de la Orbita del Universo
+ 1 Oculto(s)

Desconectado Desconectado

Mensajes: 299


un defecto se puede convertir en una virtud


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #4 en: 12 Agosto 2016, 03:06 »

creo que se refiere a este
https://github.com/rahulrj/ADG-VIT/blob/master/configuration.php
En línea

Shell Root
Colaborador
***
Desconectado Desconectado

Mensajes: 3.846



Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #5 en: 12 Agosto 2016, 04:04 »

Solo se saca la conexión y te conectas con cualquier gestor para administrar base de datos, esto sucede cuando se tiene github y no se controla las credenciales en entorno de pruebas y desarrollo.

Pero si no consigues las credenciales faciles, puedes clonar el repositorio y buscar vulnerabilidades en un entorno controlado, es mucho más facil que cuando es a ciegas.
« Última modificación: 12 Agosto 2016, 04:39 por Shell Root » En línea

Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.
WHK
吴阿卡
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.816


The Hacktivism is not a crime


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #6 en: 22 Agosto 2016, 03:23 »

jajajaja buen post, de hecho en mi empresa cuando un cliente necesita ver sus agujeros de seguridad tambien buscamos trozos de codigo de sus desarrollos en diferentes lados y muchas veces encontramos cookies con sesiones publicadas o credenciales internas de bases de datos, especialente en esos sitios donde puedes correr código en tiempo real.
En línea

berz3k
Colaborador
***
Conectado Conectado

Mensajes: 1.209



Ver Perfil
Re: GitHub como vector de ataque
« Respuesta #7 en: 23 Agosto 2016, 02:01 »

@WHK mediate querys en Google ? que me parece esta de moda hacer busquedas OSINT? aunque realmente es una  busqueda para encontrar rastros de tu ofsensor

-berz3k
En línea

.rn3w.


Desconectado Desconectado

Mensajes: 468


mis virtudes y defectos son inseparables


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #8 en: 23 Agosto 2016, 03:30 »

que ingenioso!!!
En línea

WHK
吴阿卡
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.816


The Hacktivism is not a crime


Ver Perfil WWW
Re: GitHub como vector de ataque
« Respuesta #9 en: 23 Agosto 2016, 03:38 »

@WHK mediate querys en Google ? que me parece esta de moda hacer busquedas OSINT? aunque realmente es una  busqueda para encontrar rastros de tu ofsensor

-berz3k

Asi es, usando dorks, buscando por trozos de códigos, urls, credenciales, dominios, ip, etc
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Elegir Vector de Ataque
Hacking Básico
Jupiter34 0 1,656 Último mensaje 7 Mayo 2011, 22:32
por Jupiter34
GitHub sufre brutal ataque DDoS desde China
Noticias
wolfbcn 0 1,028 Último mensaje 28 Marzo 2015, 01:59
por wolfbcn
Cinco días después, GitHub continua bajo el mayor ataque DDoS de su historia
Noticias
wolfbcn 0 386 Último mensaje 30 Marzo 2015, 21:49
por wolfbcn
Cómo saber qué vector de ataque XSS me puede servir?
Nivel Web
Schaiden 1 984 Último mensaje 31 Octubre 2016, 02:32
por sirdarckcat
Seguridad en cámaras web: entendiendo un vector de ataque moderno
Noticias
r32 0 461 Último mensaje 2 Noviembre 2016, 20:00
por r32
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines