elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Introducción a Git (Primera Parte)


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  Se solicitan Pen-Testers para proyecto de software !
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 Ir Abajo Respuesta Imprimir
Autor Tema: Se solicitan Pen-Testers para proyecto de software !  (Leído 13,828 veces)
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #10 en: 29 Enero 2011, 20:24 pm »

No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.

Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa


« Última modificación: 29 Enero 2011, 20:25 pm por T0rete » En línea

jpmo4


Desconectado Desconectado

Mensajes: 1.579


Aproximadamente en........................


Ver Perfil
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #11 en: 29 Enero 2011, 20:32 pm »

No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.

Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa

                                       concuerdo totalmente, es un auditor pro, y te mostrara algo para que vayas viendo, acceso root intentare obtenerlo hoy esta noche,ahorita estoy dsd el cel.


En línea

Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas

   
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #12 en: 29 Enero 2011, 20:52 pm »

Entonces ya somos dos auditores que nos entendemos.

Y pues respecto a mi opinión, no veo que sea un FPD ya que un FPD se consigue mediante load_file() en SQL inyection y mediante inclusión de archivo, cuando el programador hacer algo así:

Código
  1. if( $_GET["var"] )
  2.   include($_GET["var"]. '.php');

Y ese error que veo es solo un problema al llamar la funcion is_admin() ya que no la encuentra definida, y esto porque se accedió al archivo PHP en directo, vaya, se perdieron los otros include(); esenciales para que las funciones se reconozcan.

jpmo4 con gusto esperamos que accedas como root, para eso es este proyecto y se hizo publico el post.



Por favor si piensan seguir invirtiendo tiempo, minimo digan si entraran a participar.

Saludos !
« Última modificación: 29 Enero 2011, 20:54 pm por Diabliyo » En línea

jpmo4


Desconectado Desconectado

Mensajes: 1.579


Aproximadamente en........................


Ver Perfil
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #13 en: 29 Enero 2011, 20:58 pm »

caray como quisiera estar frente a mi pc ahorita, tbn soy Auditor. Corroborare ambos testeos si es que no modificaste el php claro. Salu2
En línea

Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas

   
T0rete
Colaborador
***
Desconectado Desconectado

Mensajes: 4.926


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #14 en: 29 Enero 2011, 21:06 pm »

Si ves el path completo de los scripts hasta el home es un FPD de libro y si, puede mostrarse sin SQL query.
En línea

Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #15 en: 29 Enero 2011, 21:18 pm »

Bueno.

Si es un FPD lo importante es que sea explotable y si este FPD permite a usuarios mlaintencionados acceder a informacion sensible, entonces los invito a explotar el bug, documentar el dato y participar.



jpmo4 los PHP no se tocan el sitio ya esta semi-publico, vaya, hicimos este posting para comprobar la seguridad antes de hacerlo 100% publico y levantar toda la campa~a para dar a conocer el sitio.

saludos !
En línea

Garfield07


Desconectado Desconectado

Mensajes: 1.121


¡Este año voy a por todas! JMJ 2011


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #16 en: 29 Enero 2011, 22:43 pm »

Yo me apunto, veremos como va esto... Luego modifico con lo que vaya viendo...
En línea



* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo
kamsky
Colaborador
***
Desconectado Desconectado

Mensajes: 2.218


Como no sabían que era imposible, lo hicieron...


Ver Perfil
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #17 en: 30 Enero 2011, 15:13 pm »

jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo
En línea

----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!
Diabliyo


Desconectado Desconectado

Mensajes: 1.441


shell# _


Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #18 en: 30 Enero 2011, 20:28 pm »

jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo

Cual CMS ?, solo tengo un CMS y es con el que esta basado el Blog, mas no el sitio Turundus.... Además quien dijo que el CMS que esta en la web lo tengo actualizado ? es un código que esta desde el 2009 a poco no piensas que el codigo que bajaste esta des-actualizado ?... Si te estas basando en los fallos del CMS que esta en la web (descargable) entonces pierdes tu tiempo en vano, se ha mejorado bastante.

Me imagino que como ya no pudiste seguir con el reto ahora comentas para evadir el echo que ya no pudiste !... Lastima, este es un reto para demostrar y no parta dimes y diretes.

Y sobre FPD yo he mencionado el concepto correcto y forma correcta, que claro, si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path. Y claro que se como funciona un LFI/RFI, hasta podría darte clases amigo... En fin, gracias por participar, terminaste muy rápido.... Otros van mas avanzados !



Vamos haciendo esto amigo kamsky, si en realidad eres un Auditor voy a proponerte algo...

Si vulneras Turundus.net, armas una bitácora y me presentas tus credenciales de Auditor Profesional te doy 50 USD. De lo contrario solo participas por el premio que esta posteado.

Entiéndase por credenciales de Auditor algún documento valido, legal y respaldado por una institución competente que eres Auditor.

Saludos !....
« Última modificación: 30 Enero 2011, 20:46 pm por Diabliyo » En línea

SnakingMax

Desconectado Desconectado

Mensajes: 167



Ver Perfil WWW
Re: Se solicitan Pen-Testers para proyecto de software !
« Respuesta #19 en: 30 Enero 2011, 20:49 pm »

Me apunto tambien ^.^
En línea

Páginas: 1 [2] 3 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines