elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Dudas Generales (Moderador: engel lex)
| | |-+  Login de pagina web aspx
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Login de pagina web aspx  (Leído 5,660 veces)
TickTack


Desconectado Desconectado

Mensajes: 434


CipherX


Ver Perfil
Login de pagina web aspx
« en: 10 Septiembre 2017, 20:29 pm »

Hola,

Como se puede loguearse en una cuenta de administrador en Login.aspx mediante inyeccion de codigo u otro metodo?

Gracias y saludos


En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Login de pagina web aspx
« Respuesta #1 en: 10 Septiembre 2017, 20:33 pm »

dependerá del metodo que use revisa el html y probalemente será pasando 2 parámetros por post

la pregunta tampoco tiene mucho sentido o está bien formulada


En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
TickTack


Desconectado Desconectado

Mensajes: 434


CipherX


Ver Perfil
Re: Login de pagina web aspx
« Respuesta #2 en: 10 Septiembre 2017, 22:27 pm »

Citar
dependerá del metodo que use revisa el html y probalemente será pasando 2 parámetros por post

A que te refieres von post?

Citar
la pregunta tampoco tiene mucho sentido o está bien formulada

Me podrias informar como Lenkrad mi pregunta por favor?

Gracias y saludos
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Login de pagina web aspx
« Respuesta #3 en: 10 Septiembre 2017, 22:29 pm »

punto 1 saber como el servidor procesa la solicitud
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
TickTack


Desconectado Desconectado

Mensajes: 434


CipherX


Ver Perfil
Re: Login de pagina web aspx
« Respuesta #4 en: 11 Septiembre 2017, 08:21 am »

Hola engel lex,

pues no creo que esto diga mucho:

Código:
<html>

<head>
  <title>login...</title>
<script src="/cdn-cgi/apps/head/jaxQRxOLDJ-JHgSZMAMwQ7x90V8.js"></script></head>

<body>
  <div>
    <form action="login.aspx" method="post">
      <div>password</div>
      <input type="text" name="pass" value="" />
      <input type="submit" name="go" value="login..." />
    </form>
  </div>
</body>

</html>

De que otras maneras se puede saber como el servidor procesa la solicitud?


Gracias y saludos
En línea

Orubatosu


Desconectado Desconectado

Mensajes: 2.515


Ver Perfil WWW
Re: Login de pagina web aspx
« Respuesta #5 en: 11 Septiembre 2017, 10:20 am »

Tu "problema" es que ves solo la parte HTML de la página. La página alojada en el servidor tiene mas código (ya sea en asp, php... lo que sea) y ese código es quien envía los datos del login generalmente contra una base de datos alojada en el servidor donde hará una petición, tipicamente en lenguaje SQL para comprobar si esos datos que das con o no correctos.

El ataque mas usual es el que se conoce como "inyección SQL"

https://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL

Aunque lo "normal" a día de hoy es que la gente se moleste al menos en comprobar que la cadena que introduce el usuario no contiene espacios, comodines... o usa lo que se conoce como "consultas preparadas" u otras técnicas para impedir ese tipo de ataques
En línea

"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998
TickTack


Desconectado Desconectado

Mensajes: 434


CipherX


Ver Perfil
Re: Login de pagina web aspx
« Respuesta #6 en: 11 Septiembre 2017, 10:56 am »

Hola Orubatosu,

crei que esta pagina era vulnerable por lo sencillez que a uno le da la impresion:

http://chatrooms.marsproject.net/livescript/login.aspx

Pero entonces si lo normal es eso lo que dijiste... entonces es imposible loguearse con la cuenta de administrador... o?


Gracias y saludos
En línea

engel lex
Moderador Global
***
Desconectado Desconectado

Mensajes: 15.514



Ver Perfil
Re: Login de pagina web aspx
« Respuesta #7 en: 11 Septiembre 2017, 13:39 pm »

De ahí en adelante es un ataque de conocimiento, es decir, tienes que saber los métodos comunes y las formas en que se programa un servidor, para tener una idea que puede ser vulnerable y atacarlo, pero si asumes que es vulnerable porque "se ve simple" vas mal, la vista y el sistema de procesamiento son aislados
En línea

El problema con la sociedad actualmente radica en que todos creen que tienen el derecho de tener una opinión, y que esa opinión sea validada por todos, cuando lo correcto es que todos tengan derecho a una opinión, siempre y cuando esa opinión pueda ser ignorada, cuestionada, e incluso ser sujeta a burla, particularmente cuando no tiene sentido alguno.
Orubatosu


Desconectado Desconectado

Mensajes: 2.515


Ver Perfil WWW
Re: Login de pagina web aspx
« Respuesta #8 en: 11 Septiembre 2017, 17:07 pm »

Claro que es posible "logearse con cuenta de administrador", siempre y cuando dispongas de la contraseña de administrador (si no usa medidas adicionales de control claro está)

Pero que el diseño de una página parezca mas o menos simple es completamente irrelevante. Muy a menudo las personas que hacen la parte gráfica no son las mismas que programan la parte lógica, y lo cierto es que a día de hoy que una página sea vulnerable a ataques SQL es para coger a su creador y meterlo en un pozo y olvidarnos de el, porque es una de las vulnerabilidades mas conocidas que se conocen y hay muchas herramientas para evitar ese ataque.

La mayor parte de los "hackeos" mas famosos, se han hecho en buena medida mediante técnicas de ingeniería social. Es decir: Engañando a alguien para que revele su contraseña o sobornando a alguien para conseguirla.

Se dice que una cadena es tan fuerte como el mas débil de sus eslabones, y en estos casos el eslabón humano suele ser de lejos el mas fragil de todos.

Existen otras formas de ataques clásicas que requieren además profundos conocimientos de como funcionan las redes para poder intentar por ejemplo una escalada de privilegios, pero ese tema ya es incluso mas complejo (de rato largo) que un ataque SQL que a día de hoy no deja de ser una chapuza

Algo tan ridículo como emails falsos que pidan confirmar usuarios y contraseñas es mucho mas eficaz, porque una cantidad de gente muy elevada ni se molesta en comprobar si la procedencia el correo es o no real o incluso de preguntar al remitente sobre si ese correo es cierto o no (al remitente real claro)

Por otro lado, lo que tu puedes ver desde el navegador no es el contenido real de la página, a ver como te lo explico.

Hoy en día se usan mucho las páginas dinámicas. Si, usan HTML, CSS y todo eso, pero también otras cosas. Por ejemplo aspx, JavaEE, PHP... y el código escrito en esos lenguajes no lo puedes ver en el navegador. No porque esté escondido, sino porque cuando tu escribes esa url, haces una petición al servidor donde está alojada la página. El servidor lee el código "real" de esa página y lo ejecuta... y el resultado de esa ejecución es código html "a pelo" (con algún añadido que puede haber claro) pero sin una sola línea del código que hay detrás. Digamos que el programa en el servidor crea una nueva página para cada petición que recibe. Así funcionan todas las páginas que no tienen un contenido que sea siempre idéntico, como este mismo foro que consiste en código html mas código en PHP, un servidor de datos MySql y posiblemente alguna cosa mas. No obstante si tu miras el "código fuente" de un foro, no verás ni una sola petición por ejemplo a una base de datos. Y eso tiene lógica, porque esas peticiones se ejecutan en el servidor. No tendría sentido que tu navegador las recibiese.
En línea

"When People called me freak, i close my eyes and laughed, because they are blinded to happiness"
Hideto Matsumoto 1964-1998
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Problema con pagina aspx y funcion javascript
Desarrollo Web
Nabucodonosor 1 3,568 Último mensaje 15 Noviembre 2010, 23:16 pm
por Nabucodonosor
Formulario Login, pagina web.
Desarrollo Web
vaXy 4 3,146 Último mensaje 21 Enero 2013, 16:03 pm
por vaXy
SQLi a página aspx
Desarrollo Web
lamama 2 2,323 Último mensaje 25 Febrero 2015, 21:29 pm
por lamama
Login con Gecko en pagina y búsqueda de una palabra dentro la de pagina
.NET (C#, VB.NET, ASP)
GEORGEFRT 1 2,367 Último mensaje 1 Diciembre 2016, 14:47 pm
por Eleкtro
Inyeccion SQL a una pagina .aspx
Hacking
Sonoma 1 3,322 Último mensaje 26 Junio 2018, 22:54 pm
por windic
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines