Foro de elhacker.net

Seguridad Informática => Hacking => Mensaje iniciado por: apolo en 15 Junio 2018, 02:50 am



Título: Necesito ayuda, apache y java
Publicado por: apolo en 15 Junio 2018, 02:50 am
Hola, necesito ayuda.
Resulta que hay un servidor apache Windows, que corre oracle.
Logré colocar un explorador de archivos jsp en una dirección del servidor y tengo acesso a los discos duros del mismo. La página tiene un login para sus usuarios, lo que no encuentro son en donde están guardadas esas credenciales de todos los usuarios de la página web? Agradezco su ayuda de antemano.
A lo que voy, es que hay una página .jsp que muestra datos, esos datos algunos usuarios depende sus privilegios pueden cambiarlos. Ahora lo que necesito saber es de donde esa página saca esos datos. Si puedo ir hasta esa dirección teniendo acceso a los discos duros de el host.


Título: Re: Necesito ayuda, apache y java
Publicado por: apolo en 15 Junio 2018, 02:59 am
A lo que voy, es que hay una página .jsp que muestra datos, esos datos algunos usuarios depende sus privilegios pueden cambiarlos. Ahora lo que necesito saber es de donde esa página saca esos datos. Si puedo ir hasta esa dirección teniendo acceso a los discos duros de el host.


Título: Re: Necesito ayuda, apache y java
Publicado por: WHK en 16 Junio 2018, 17:53 pm
Para comenzar, si necesitas saber como se realiza el acceso debes entender como está construido y para lograr eso debes descompilar los archivos java del proyecto y luego de eso podrás saber desde donde está sacando la información para hacer el login.

Para eso te recomiendo que entiendas un poco de java ya que necesitarás estudiar el DAO para saber cómo y desde donde está sacando los datos. Por otro lado un archivo JSP solo utiliza el package precompilado para ejecutar funciones, es como decir que los jsp solo contienen vistas y los que ejecutan la lógica son los archivos compilados, estos los podrás detectar en la cabecera del archivo jsp cuando hace los "import", cuando obtengas el package del import podrás saber en que directorio buscar del archivo WAR o JAR compilado (una ves que lo descompiles).

Dependiendo del caos puedes usar este servicio para descompilar el paquete: http://www.javadecompilers.com/

También puedes revisar el directorio WEB-INF en busca del archivo de configuraciones web.xml, aunque en muchos casos estos datos los compilan o los dejan en las variables de entorno de la aplicación.


Título: Re: Necesito ayuda, apache y java
Publicado por: srWhiteSkull en 16 Junio 2018, 22:42 pm
A lo que voy, es que hay una página .jsp que muestra datos, esos datos algunos usuarios depende sus privilegios pueden cambiarlos. Ahora lo que necesito saber es de donde esa página saca esos datos. Si puedo ir hasta esa dirección teniendo acceso a los discos duros de el host.

Me imagino que en la base de datos tendrá alguna tabla que indique que tipo de permisos dispone o el rol del usuario.