elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: AIO elhacker.NET 2021 Compilación herramientas análisis y desinfección malware


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Auditoría de seguridad - Web Command Injection
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Auditoría de seguridad - Web Command Injection  (Leído 2,976 veces)
MacGyver87

Desconectado Desconectado

Mensajes: 64


Sam, vigila.....


Ver Perfil
Auditoría de seguridad - Web Command Injection
« en: 23 Julio 2013, 09:51 am »

Hace ya más de 10 años que me cree una cuenta en elhacker.net...cómo pasa el tiempo!!! El caso es que por primera vez escribo como auditor de seguridad por una situación que se me ha presentado.

Os pongo en situación: Auditando la seguridad externa de la empresa XXXX, he hallado un agujero de seguridad en uno de los servidores, concretamente en el servidor de aplicaciones. Tienen un plugin completamente desfasado y al cual consigo introducir cualquier comando Unix en la URL y me escupe su salida en forma de error web.
He visto qué tipo de privilegios tiene el usuario actual (bastante capado) y he expulsado por pantalla diverso contenido que sería suficiente para cumplir con el objetivo de la auditoría. No obstante, creo que es un pastel demasiado jugoso como para no intentar realizar alguna acción más... hasta ahora estoy enfrascado en subir a ese punto una consola php y de esta manera lograr que la ejecución de comandos de una manera más práctica e interactiva. Se os ocurre alguna otra forma, o alguna otra acción a realizar? (recordad que es una auditoria técnica de seguridad, no puedo/debo reventarles el tinglado...)

Muchas gracias


En línea

'El hombre es mortal por sus temores e inmortal por sus deseos'
GenR_18

Desconectado Desconectado

Mensajes: 115


Ver Perfil
Re: Auditoría de seguridad - Web Command Injection
« Respuesta #1 en: 25 Julio 2013, 05:06 am »

utiliza wget para bajarte una shell en php y listo  ;D

Salu2!


En línea

MacGyver87

Desconectado Desconectado

Mensajes: 64


Sam, vigila.....


Ver Perfil
Re: Auditoría de seguridad - Web Command Injection
« Respuesta #2 en: 29 Julio 2013, 14:37 pm »

Lo hice lo hice... pero cualquier archivo que contenga <?php lo eliminaba (al menos eliminaba esos 5 caracteres).
En línea

'El hombre es mortal por sus temores e inmortal por sus deseos'
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
La auditoría de seguridad en las empresas « 1 2 »
Hacking
KarlosVid(ÊÇ) 11 35,019 Último mensaje 26 Mayo 2011, 17:53 pm
por nettlock
Auditoría de seguridad hacia OpenCart 1.4.7
Nivel Web
WHK 0 4,721 Último mensaje 31 Mayo 2010, 09:14 am
por WHK
Auditoria de seguridad, mis comienzos...
Seguridad
Davisin 5 4,239 Último mensaje 9 Octubre 2012, 22:53 pm
por Epzylon
Montar una auditoria de seguridad.
Seguridad
DarkAedi 2 2,629 Último mensaje 3 Mayo 2018, 11:51 am
por DarkAedi
Mastering Command Injection - The Ultimate Hands-On Course
Tutoriales - Documentación
ehn@ 0 1,280 Último mensaje 1 Noviembre 2023, 04:44 am
por ehn@
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines