|
Título: Hackear con servidor pudiendo leer todos los archivos Publicado por: lapopola en 24 Septiembre 2011, 05:26 am Hola, les cuento mi situación... he descubierto una vulnerabilidad.. en un sitio que me conviene bastante haberla descubierto ( :rolleyes: + >:D ) y bueno... el problema es que es con la vulnerabilidad puedo meter comandos de PERL pero! no puedo escribir, solo leer :¬¬ :¬¬ :¬¬ o sea, puedo leer TODOS los archivos de servidor.. (es un servidor windows) C:\ , archivos de programas, windows, los de la página, todos! pero no puedo modificarlos ni agregar nada como para subir una shell!!!! >:( >:( >:( >:( y no se que hacer... por que habia pensado en buscar las contraseñas ftp, que busqué sin saber donde podían estar, pero además era ilógico porque no necesitaría el webmaster subir por ftp si es en la misma máquina el server a menos que los quiera poder subir desde otro lado, pero no se donde buscar las contraseñas... no sé como hacer... tampoco se donde se guardan las bases de datos mysql como para poder sacar información.... no sé que me recomiendan que haga para poder grabarle una shell :(
tampoco se como sacarle contraseñas.... lo que mas me interesaría es poder leer los mails , pero usan un sistema que es tu cuenta de gmail pero con dominio tuyo, y no sé si alguna contraseña o algo queda en el servidor.... espero su asesoramiento :laugh: :laugh: :laugh: :laugh: AH! Y POR ULTIMO!!! TODA MI INVESTIGACION LA HICE USANDO PROXPN... QUERIA QUE ME DIJERAN QUE TAN FIABLE ES , PORQUE NO QUIERO QUE ME DESCUBRAN :o :o :o Título: Re: Hackear con servidor pudiendo leer todos los archivos Publicado por: .:UND3R:. en 24 Septiembre 2011, 14:56 pm Nada es 100% indetectable, con lo de la vulnerabilidad depende de que sea la página web, por lo general busca un archivo llamado, config.php en el está el nombre de usuario y contraseña de la base de datos
Saludos Título: Re: Hackear con servidor pudiendo leer todos los archivos Publicado por: lapopola en 24 Septiembre 2011, 23:55 pm es un sistema cgi, no es php :-\
Título: Re: Hackear con servidor pudiendo leer todos los archivos Publicado por: WHK en 26 Septiembre 2011, 22:38 pm config.pl jajajajaja xD
pues date vuelta por toooooda la pagina viendo archivos y si encuentras alguna con datos de contraseñas pues las usas y si no encuentras nada comprometedor entones puedes intentar ver archivos del sistema aunque normalmente no debería dejarte ya que cuando alguien monta una web la ejecución queda a nivel www-data pero si el admin es inexperto talves pudo haber quedado como root. Dale un vistazo al archivo /etc/shadow |