Autor
|
Tema: Concurso Nº1: "Hack My Server" (Leído 131,075 veces)
|
Puntoinfinito
Desconectado
Mensajes: 919
#! /win/archlinux
|
Ah, hostia ya no me acordaba del mes xD Entonces, ¡Paciencia!
|
|
|
En línea
|
|
|
|
dimitrix
|
Exacto, la idea es que participemos todos, ya que estoy pagando todo esto, lo único que espero es que la gente 'colabore'.
No ataque para probar y no publique lo que encuentra. Si quieren hacer eso me parece muy bien, pero no con mi server. Aquí quien quiere atacar que colabore. Esto es una comunidad :-)
|
|
|
En línea
|
|
|
|
Breixo
|
Yo creo que el punto más débil como habéis comentado es el panel de parallels, esta vulnerabilidad http://kb.parallels.com/en/113313. Con lo que en teoría se podría entrar por ahí. Pero el problema es que en ningún sitio encuentro realmente en que consiste realmente el fallo, lo único que hay es esto http://www.exploit-db.com/exploits/15313/, pero se trata de un parallels plesk sobre Windows. He tratado de reproducir las peticiones que hace el fulano pero no hay manera de obtener ni siquiera un simple error.
|
|
|
En línea
|
|
|
|
Puntoinfinito
Desconectado
Mensajes: 919
#! /win/archlinux
|
Yo estoy preparando todo tipo de cosas para probarlas en cuanto dimitrix me pase su IP xD ¿Me la pasas por favor? Así comenzaré a probar Saludos
|
|
|
En línea
|
|
|
|
dimitrix
|
Yo creo que el punto más débil como habéis comentado es el panel de parallels, esta vulnerabilidad http://kb.parallels.com/en/113313. Con lo que en teoría se podría entrar por ahí. Pero el problema es que en ningún sitio encuentro realmente en que consiste realmente el fallo, lo único que hay es esto http://www.exploit-db.com/exploits/15313/, pero se trata de un parallels plesk sobre Windows. He tratado de reproducir las peticiones que hace el fulano pero no hay manera de obtener ni siquiera un simple error. El problema es que con un SQLi tendrás que escalar mucho, pero puede funcionar. Yo estoy preparando todo tipo de cosas para probarlas en cuanto dimitrix me pase su IP xD ¿Me la pasas por favor? Así comenzaré a probar Saludos No tengo ningún MP tuyo, pero ya te lo he enviado :-P
|
|
|
En línea
|
|
|
|
[u]nsigned
Desconectado
Mensajes: 2.397
JS/Node developer
|
Me apunto. Por otro lado, y no es por tirar malas onda, pero si es un VPS contratado, con plesk y toda la cosa, seguramente este actualizado y bien configurado. Cada VPS nuevo que una empresa alquila no es ams que una copia de una 'imagen' virtual preconfigurada, y dicha empresa depende totalmente de que sus productos sean muy seguros. Es decir, es muyy difcil que un servicio de pago no brinde la mayor seguridad posible y actualizaciones mas recientes de su software... Asi que basicamente estariamos auditando gratis xD Saludos
|
|
|
En línea
|
No hay atajo ante la duda, el misterio se hace aquí... Se hace carne en cada uno, el misterio es existir!
|
|
|
h3ct0r
Desconectado
Mensajes: 108
Hail to the king baby!
|
Mejor aun para testear nosotros, si logramos entrar a un servidor actualizado y en "produccion" es muchisimo mas interesante y divertido. Si no logramos entrar, pues bueno... A seguir estudiando! Hay que verle el lado positivo a todo! Estoy revisando esas sqlinjection y hasta ahora nada, voy a instalar ese plesk aqui local para probar, cualquier novedad la posteo.
|
|
|
En línea
|
[img[/img]
|
|
|
dimitrix
|
Me apunto. Por otro lado, y no es por tirar malas onda, pero si es un VPS contratado, con plesk y toda la cosa, seguramente este actualizado y bien configurado. Cada VPS nuevo que una empresa alquila no es ams que una copia de una 'imagen' virtual preconfigurada, y dicha empresa depende totalmente de que sus productos sean muy seguros. Es decir, es muyy difcil que un servicio de pago no brinde la mayor seguridad posible y actualizaciones mas recientes de su software... Asi que basicamente estariamos auditando gratis xD Saludos No lo veo cierto de todo, en un VPS/Servidor no administrado la seguridad corre de tu parte. Además que una se monta el servidor ellos no actualizan el VPS, lo máximo que hacen es una vez al mes enviarte instrucciones de como arreglar los nuevos bugs que han salido, pero ellos no lo arreglan ni lo tocan. Por otra si el día 15 nadie ha conseguido algo, intalaré aplicaciones 'corrientes' pero que sepa que tienen vulnerabilidades.
|
|
|
En línea
|
|
|
|
dimitrix
|
Ahhh a todo esto, las versiones que están instaladas ya son viejas, no son las más actuales.
|
|
|
En línea
|
|
|
|
maxim_o
Desconectado
Mensajes: 186
|
Bueno leyendo y consultando con nuestro amigo google el proftpd 1.3.3c si las configuraciones están por defecto será dificil romper, ya que lo único que encontre solo funciona si tiene el mod_sql instalado y funcionando y por defecto no es así. Asi que tendremos que centrarnos en el plesk y/o en otros servicios....
|
|
|
En línea
|
|
|
|
|
Mensajes similares |
|
Asunto |
Iniciado por |
Respuestas |
Vistas |
Último mensaje |
|
|
GFXMACHINE, presenta "Concurso Por Un Dominio"
Diseño Gráfico
|
+ enrique ZP
|
0
|
2,171
|
19 Octubre 2005, 04:24 am
por + enrique ZP
|
|
|
De donde puedo descargar utilidades: "Formas", "Estilos", "Motivos", D
Diseño Gráfico
|
Ad0nis
|
2
|
8,906
|
2 Septiembre 2006, 15:48 pm
por Ad0nis
|
|
|
[Ayuda] modificar "start page" en "internet explorer" con "batch"
Scripting
|
taton
|
7
|
17,378
|
20 Septiembre 2006, 01:45 am
por taton
|
|
|
recursos visual basic, """"""proceso inmortal"""""
Análisis y Diseño de Malware
|
Dark4ngel
|
7
|
14,264
|
3 Noviembre 2011, 10:42 am
por Dark4ngel
|
|
|
Tema: Concurso Nº1 "Hackeame" Ethical Hack
« 1 2 3 4 5 »
Hacking
|
Gtorna
|
43
|
33,222
|
1 Agosto 2012, 16:32 pm
por it3r
|
|