elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Estamos en la red social de Mastodon


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  ¿Que más puede hacerse con un AFD?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: ¿Que más puede hacerse con un AFD?  (Leído 2,460 veces)
thedevilini

Desconectado Desconectado

Mensajes: 52


Ver Perfil
¿Que más puede hacerse con un AFD?
« en: 22 Diciembre 2015, 04:53 am »

 Hola a todos, estoyhaciendo pentesting a una web basada en joomla, y he conseguido descargar el archivo "configuration.php" que como ustedes ya sabràn contiene el nombre de la base de datos, el usuario y la contraseña para acceder.

Trate de acceder con ese usuario y esa password directamente en el panel de administración de Joomla  en :  "www.sitioweb.com/Administrator" . De lo que me doy cuenta es que esas son las credenciales de acceso pero a la base de datos, por lo cual deberia acceder primero a PhpMyadmin con una URL similar a:  "www.sitioweb.com/phpmyadmin" ... y aqui esta el gran dilema, ¿como hago para poder entrar a la base de datos (entrar a mirar las credenciales de acceso para posteriormente acceder al panel de administracion de la pagina) si con "www.sitioweb.com/phpmyadmin" es imposible? ... Cabe mencionar que puedo descargar cualquier archivo del servidor, puesto que la vulnerabilidad que explote es un "Arbitrary File Download" en otro caso: existe algun otro fichero que contenga las credenciales de acceso directas del panel de administracion de joomla? y asi poder eliminar ese intermediario acceso a la base de datos de phpmyadmin?  ....  Se les ocurre alguna cosa interesante que se pueda hacer? ---> Ya he descargado tambien el archivo /etc/passwd y el etc/shadow  (Asi que perfectamente puedo descargar archivos del Host que aloja la pagina  web)

Muchas gracias por sus respuestas!
« Última modificación: 22 Diciembre 2015, 07:37 am por thefactumest » En línea

mester

Desconectado Desconectado

Mensajes: 219


https://www.youtube.com/watch?v=IlY9C6pzxKc


Ver Perfil WWW
Re: ¿Que más puede hacerse con un AFD?
« Respuesta #1 en: 3 Enero 2016, 15:29 pm »

Intenta conectarte mediante MySQL o con SQLmap, que tiene una funcionalidad para autenticarse en el servidor
En línea

Justicia es dar a cada uno lo que se merece
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Los trámites dejarán de hacerse en papel en 2015
Noticias
wolfbcn 0 1,183 Último mensaje 6 Octubre 2010, 21:25 pm
por wolfbcn
Como hacerse una página web
Desarrollo Web
rubencristiano9 1 2,043 Último mensaje 15 Noviembre 2012, 17:25 pm
por Graphixx
¿esto podría hacerse?
Dudas Generales
valencia456 2 1,894 Último mensaje 5 Noviembre 2014, 13:29 pm
por valencia456
Quería saber si esto puede hacerse con html
Desarrollo Web
Roboto 2 1,956 Último mensaje 20 Febrero 2016, 20:56 pm
por Roboto
como hacerse un phearking « 1 2 »
Foro Libre
el invisible 15 4,327 Último mensaje 30 Junio 2018, 22:51 pm
por B€T€B€
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines