elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Inyección remota de comandos OS
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Inyección remota de comandos OS  (Leído 3,433 veces)
avast_1233000

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Inyección remota de comandos OS
« en: 12 Marzo 2019, 15:00 pm »

Hola tengo unas inquietudes hacer de una vulnerabilidad que me detectó owasp zap   de inyección remota de comandos OS  eh intentado explotarla  pero eh fallado  ya que la vulnerabilidad   está en el post cliente  vos sus respectivos parámetros  hay alguien  que pueda indicarme  donde realmente está la vulnerabilidad ?
En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.513


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Inyección remota de comandos OS
« Respuesta #1 en: 12 Marzo 2019, 16:02 pm »

Hola tengo unas inquietudes hacer de una vulnerabilidad que me detectó owasp zap   de inyección remota de comandos OS  eh intentado explotarla  pero eh fallado  ya que la vulnerabilidad   está en el post cliente  vos sus respectivos parámetros  hay alguien  que pueda indicarme  donde realmente está la vulnerabilidad ?

No se te entiende muy bien...

Podrías explayarte un poco más? Qué CVE quieres explotar?

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

avast_1233000

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Inyección remota de comandos OS
« Respuesta #2 en: 12 Marzo 2019, 17:19 pm »

El cve-2014-6271  cwe-78

En una de las peticiones  Get:/*action  le hice un ataque fuzz  con inyección bueno me tiro estas vulnerabilidades  de que Get:/*actions es vulnerable y post:.../signin  también 

El post en la  petición me muestra  los parámetros  pero en respuesta no.

MOD: No hacer doble post. Usa el botón modificar.
« Última modificación: 12 Marzo 2019, 18:21 pm por MCKSys Argentina » En línea

MCKSys Argentina
Moderador Global
***
Desconectado Desconectado

Mensajes: 5.513


Diviértete crackeando, que para eso estamos!


Ver Perfil
Re: Inyección remota de comandos OS
« Respuesta #3 en: 12 Marzo 2019, 18:25 pm »

Hola!

Veo que quieres explotar ShellShock: https://nvd.nist.gov/vuln/detail/CVE-2014-6271

Entiendo que después de fuzzear un sitio web, te dió positivo de esta vulnerabilidad haciendo un GET en /actions y POST en /signin.

Para que veas un poco la cosa, te dejo un link que te servirá mucho para explotar esta vulnerabilidad: https://github.com/opsxcq/exploit-CVE-2014-6271

Si tienes un linux a mano, puedes usar los scripts proporcionados.

Saludos!
En línea

MCKSys Argentina

"Si piensas que algo está bien sólo porque todo el mundo lo cree, no estás pensando."

avast_1233000

Desconectado Desconectado

Mensajes: 4


Ver Perfil
Re: Inyección remota de comandos OS
« Respuesta #4 en: 12 Marzo 2019, 19:13 pm »

Buenísimo si tengo Linux vamos a intentarlo gracias por la ínformacion.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines