elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Security Series.XSS. [Cross Site Scripting]


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Hacking
| | |-+  Bugs y Exploits
| | | |-+  Nivel Web (Moderadores: sirdarckcat, WHK)
| | | | |-+  Tantos datos y no consigo entrada....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Tantos datos y no consigo entrada....  (Leído 3,547 veces)
cho

Desconectado Desconectado

Mensajes: 70



Ver Perfil
Tantos datos y no consigo entrada....
« en: 20 Enero 2007, 17:19 pm »

Buenas a todos.


Tengo un problemita con una pagina web, e intentado atacarla y e consigo la posibilidad de hacer un deface, pero esto no me gusta, lo que quiero es conseguir total control del servidor, el caso es que hay una carpeta en la cual puede escribirse, pues bien, e intentado subir un archivo asp al servidor(IIS 6.0,ASP)y no puedo, puedo subir todo lo que yo quiera menos asp me dice que el archivo no se encuentra :huh:

Código:
The page cannot be found
The page you are looking for might have been removed, had its name changed, or is temporarily unavailable.
--------------------------------------------------------------------------------

Pero si subo algun archivo .php .js .html si  que lo ejecuta;y no es que lo este subiendo con algun script de Upload, lo que hago es una peticion http con el metodo PUT, nada mas.
La verdad es que no me lo explico.
Si,si, que si e intentado subir un html, y usar el copy o el move y cambiar la extension a asp, pero no va, ni en este , ni en ningun otro directorio.

E intentado hacer algo con javascript, pero poco me ayuda(no es que sea un guru en JS tampoco) ya que se ejecuta en modo cliente y no en modo servidor , asi que para lo unico que me serviria(segun yo mismo) seria para sacar cookie,o redireccionar cosa que no me interesa de momento.


La misma web tiene SQL inyeccion, lo e intentado, pero creo que tiene el magic_quotes=on , o nose que otra proteccion, porque al hacer:

Código:
http://www.******/*****/logininc.asp?var=having+1%3D1--

Me da una respuesta un poco rara:

Código:
Microsoft OLE DB Provider for SQL Server error '80040e14' 

Incorrect syntax near the keyword 'having'.

/*****/logininc.asp, line 9

Logicamente ya lei y asi es el comando en SQL, no se porque me dira que la sintaxis es incorrecta.


Otra cosita.

Por ahi me encontrado el que al parecer es el login a la base de datos (muchos dirian,pues vaya!! si ya lo tienes todo !,..pues no)la e encontrado en un archivo backup del mismo server (login.OLD)(Si, SF= Script Disclosure) , pues me sirve de poco porque :

1)Al no tener permiso para subir archivos.asp al servidor, pues no puedo hacer conexion con la DB por medio del OLE DB(Lo intente en html, pero logicamente no me sirvio, si alguien sabe alguna otra forma, porfavor postearlo)

2)Intente conectar desde Windows con el ODBC, pero al parecer :
a)No puedo conectar desde mi IP y tendria que spoofear la IP de algun administrador o miembro con permiso de entrar (esto lo sabia, ya que el ping no daba respuesta ( :huh: ) ni el NMAP devolvia resultados
b)Tendran firewall(esto casi seguro)

Asi no podia hacer nada con estos datos(que ni sabia si eran ciertos :P)


Ahi estoy, con un millon de vulnerabilidades, pero 0 ideas de como hacer una intrusion,aver si alguno podria hecharme una mano.




Saludos.
Gracias de antemano
En línea

XayOn

Desconectado Desconectado

Mensajes: 115


Hack the world


Ver Perfil WWW
Re: Tantos datos y no consigo entrada....
« Respuesta #1 en: 21 Enero 2007, 05:52 am »

Puedes usar el nmap con la opcion -p0 pero a que sitio estas intentando entrar? No suele ser muy habitual protecciones de ese tipo (normalmente se pone una lista negra de ips, no una blanca) Yo pense en poner eso con mi servidor pero tendria que contratar en mi domicilio una ip fija y me parecia caro :P
La verdad es que no entiendo demasiado a lo que te refieres con
>>a)No puedo conectar desde mi IP y tendria que spoofear la IP de algun administrador o miembro con permiso de entrar (esto lo sabia, ya que el ping no daba respuesta ( huh ) ni el NMAP devolvia resultados

Vale, pueden tener el ping capado con el firewall y al detectar un scanner de puertos bloquear la ip, has probado (con ip renovada si la tienes estatica y tras un proxy si no) a comenzar el escaneo en el puerto 80?
Puede que consigas mas resultados con telnet :P (si no son como yo de paranoicos, que al recibir una conexion en cualquier puerto que no fuera el 80 bloqueaba con iptables la ip... (antes de que nadie lo piense, no, no creaba infinitas reglas si me hacian un escaneo de puertos y no era posible hacerme un DOS... a partir de la segunda version, en la que comence a comprobar antes que la ip no tubiese ya una regla...xD )
Tambien puede ser que yo lo haya entendido mal y el servidor odbc este en una maquina distinta que el servidor web, en cuyo caso con spoofear con la ip del servidor web lo tendrias.
En línea

hdbreaker

Desconectado Desconectado

Mensajes: 2


Ver Perfil
Re: Tantos datos y no consigo entrada....
« Respuesta #2 en: 28 Diciembre 2010, 21:05 pm »

Hola espero no ser de molestia pero tengo el mismo problema encontre un servidor con iis6.0 con asp y php pero al intentar incluir algun archico con extensión php o asp el archivo no sube... pero al subir un archivo html o de cualquier otro tipo q sea desconosido para el servidor lo puedo ejecutar desde el navegador (obviamente solo los de extensión html por tampoco me deja subir jpg ni gif U.U...) Si alguien puede explicarme q es lo q sucede se lo agradeceria.
En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
duda con n entrada de datos...
Java
rub'n 4 5,676 Último mensaje 31 Octubre 2010, 23:24 pm
por rub'n
NO CONSIGO CREAR UNA ENTRADA EN REGEDIT...
Programación C/C++
ApOkAlizE 0 1,638 Último mensaje 22 Enero 2013, 01:01 am
por ApOkAlizE
¿Tantos años buscando una @#~* Guía?
Dudas Generales
TheEGG 89 5 2,924 Último mensaje 11 Febrero 2013, 23:20 pm
por girlee
Entrada de datos con fgets()
Programación C/C++
David8 4 3,040 Último mensaje 3 Abril 2014, 19:43 pm
por David8
La NSA tiene tantos datos que ya casi no sirven de nada
Noticias
wolfbcn 3 2,088 Último mensaje 29 Abril 2016, 11:18 am
por Orubatosu
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines