elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  hackear website
0 Usuarios y 2 Visitantes están viendo este tema.
Páginas: [1] 2 Ir Abajo Respuesta Imprimir
Autor Tema: hackear website  (Leído 13,951 veces)
Bardak

Desconectado Desconectado

Mensajes: 7


Ver Perfil
hackear website
« en: 21 Enero 2011, 03:50 am »

De X sitio web, obtuve los siguientes datos,

IP: del sitio web
IP: de la máquina donde está corriendo la base de datos
BD: nombre de la base de datos
User: de la base de datos
Pass: de la base de datos
Puerto: 5432 -- postgresql ( es el único puerto habilitado, aparte del 25 y 80 que no sirven de mucho  )
Apache/2.2.3 (CentOS) Server

Entre todos esos directorios encontré parte de la info de la que hablo, y algunas otras cosas interesantes, que por el momento no vienen al tema.



Esta es la lista de puertos bloqueados ( esta info la saqué con http://www.t1shopper.com/tools/port-scan/ )

  isn't responding on port 21 (ftp).
  isn't responding on port 23 (telnet).
  isn't responding on port 110 (pop3).
  isn't responding on port 139 (netbios-ssn).
  isn't responding on port 445 (microsoft-ds).
  isn't responding on port 1433 (ms-sql-s).
  isn't responding on port 1521 (ncube-lm).
  isn't responding on port 1723 (pptp).
  isn't responding on port 3306 (mysql).
  isn't responding on port 3389 (ms-wbt-server).
  isn't responding on port 5900 ().
  isn't responding on port 8080 (webcache).

Quiero acceder a la info de la base de datos, pero no puedo porque no acepta conexiones remotas, he intentado con algo de sql injection pero no logro nada.

Que otras opciones me dan. jejeje

***Actualización  19/04/2011 ***

Después de muchos intentos pos no he logrado más que sacar esta info, quizás alguien pueda hackear este website o un defacement, le adjunto la info.

1.- http://www.utmachala.edu.ec/portalweb/      Tal parece que para ingresar existe un usuario INVITADO pero no he podido obtener el password

2.- http://www.utmachala.edu.ec/insweb/application/configs/application.ini   Es la info de la base de datos de esta aplicación http://www.utmachala.edu.ec/insweb/public/autentica/autentica  usuario=INVITADO password=INVITADO rol=INVITADO codigo=3, tambien tiene otros usuarios que son

user=UTM password desconocido rol=ADMINISTRADOR codigo=1
user=MIEMBRO password desconocido rol=MIEMBRO codigo=5
user=FIC password desconocido rol=MIEMBRO codigo=84
user=FCE password desconocido rol=MIEMBRO codigo=85
user=FCA password desconocido rol=MIEMBRO codigo=86
user=FCQS password desconocido rol=MIEMBRO codigo=87
user=FCS password desconocido rol=MIEMBRO codigo=88
user=FCS-SI password desconocido rol=MIEMBRO codigo=89

Toda esta info antes se la podia consultar desde aquí http://www.utmachala.edu.ec/insweb/application/modules/administrador/views/scripts/administrador/  accediendo a la parte de usuario.phtml

3.- el php.ini esta aquí http://www.utmachala.edu.ec/insweb/application/bridge/JavaBridge/test.php

4.- aqui esta el directorio principal de donde obtuve toda la info http://www.utmachala.edu.ec/insweb/application/

« Última modificación: 20 Abril 2011, 18:20 pm por Bardak » En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: hackear website
« Respuesta #1 en: 21 Enero 2011, 03:56 am »

y la pregunta del millón, como conseguiste esa información?
En línea

Te vendería mi talento por poder dormir tranquilo.
Space.Medafighter.X

Desconectado Desconectado

Mensajes: 24



Ver Perfil
Re: hackear website
« Respuesta #2 en: 21 Enero 2011, 03:56 am »

Sube shell en el hosting y conectate desde ahí.
En línea

Bardak

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: hackear website
« Respuesta #3 en: 21 Enero 2011, 04:02 am »

Como encontré el fallo de seguridad?? bueno ellos no están bloqueando los directorios donde tiene su aplicación principal, asi que revisando archivo por archivo, encontré parte de la info, en realidad fue un golpe de suerte, y la otra parte fue con ayuda de google jejeje.
En línea

Bardak

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: hackear website
« Respuesta #4 en: 21 Enero 2011, 04:05 am »

esta es la lista de puertos bloqueados
  isn't responding on port 21 (ftp).
  isn't responding on port 23 (telnet).
  isn't responding on port 110 (pop3).
  isn't responding on port 139 (netbios-ssn).
  isn't responding on port 445 (microsoft-ds).
  isn't responding on port 1433 (ms-sql-s).
  isn't responding on port 1521 (ncube-lm).
  isn't responding on port 1723 (pptp).
  isn't responding on port 3306 (mysql).
  isn't responding on port 3389 (ms-wbt-server).
  isn't responding on port 5900 ().
  isn't responding on port 8080 (webcache).
En línea

Space.Medafighter.X

Desconectado Desconectado

Mensajes: 24



Ver Perfil
Re: hackear website
« Respuesta #5 en: 21 Enero 2011, 04:09 am »

No hagas doble-post, existe un boton llamado "modificar" para MODIFICAR los mensajes. A todo esto, si el servidor no es dedicado, con mi respuesta debió ser suficiente.
En línea

Bardak

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: hackear website
« Respuesta #6 en: 21 Enero 2011, 04:20 am »

Mil disculpas por hacer un doble-post.
Y aquí una pregunta tonta, que todo novato hace, como subo el shell al host si no puedo acceder via ftp??? me ayudas con algunas indicaciones adicionales.??
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: hackear website
« Respuesta #7 en: 21 Enero 2011, 04:21 am »

Y como revisaste archivo por archivo.
En línea

Te vendería mi talento por poder dormir tranquilo.
Bardak

Desconectado Desconectado

Mensajes: 7


Ver Perfil
Re: hackear website
« Respuesta #8 en: 21 Enero 2011, 04:27 am »

mmm cómo te explico esa parte.
a través del browser www.sitio.com/directorio_de_aplicaciones/
justa ahi me muestra
el Index Of de la aplicación
asi que a través del Parent Directory   
fui revisando los archivos .phtml
En línea

Shell Root
Moderador Global
***
Desconectado Desconectado

Mensajes: 3.724


<3


Ver Perfil WWW
Re: hackear website
« Respuesta #9 en: 21 Enero 2011, 04:51 am »

Pero no entiendo, como recolectaste esa información y así de simple...
En línea

Te vendería mi talento por poder dormir tranquilo.
Páginas: [1] 2 Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Nuevo Website
Diseño Gráfico
johnwmartinez 2 2,292 Último mensaje 25 Marzo 2006, 23:09 pm
por ™Carlos.®
my website is hack ,please tell me how to do ?
Nivel Web
boilpass 3 3,314 Último mensaje 30 Mayo 2009, 19:02 pm
por Red Mx
Seguridad en WebSite
PHP
Hadess_inf 8 3,232 Último mensaje 13 Mayo 2010, 03:51 am
por bomba1990
Website descargas
Desarrollo Web
Gogeto 2 2,621 Último mensaje 22 Octubre 2010, 00:15 am
por Gogeto
¿Template de un WebSite ya maquetado?
Desarrollo Web
TheEGG 89 2 2,238 Último mensaje 19 Diciembre 2012, 13:42 pm
por TheEGG 89
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines