Apache Server Status [info]

  • 13 Respuestas
  • 7911 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Abnormality

  • *
  • Underc0der
  • Mensajes: 392
  • Actividad:
    0%
  • Reputación 0
  • %SystemRoot%
    • Ver Perfil
    • Email

Apache Server Status [info]

  • en: Octubre 30, 2012, 09:43:24 pm


Bueno les queria comentar de algo que puede venir util para hacer information gathering en un pentest (o lo que sea que hagan picarones) para servidores corriendo apache.

Apache tiene una funcion llamada server-status que nos da informacion bastante util, por ejemplo: procesos corriendo, el estado de cada peticion, IPs de personas que esten visitando el sitio, las URL de las peticiones (util para encontrar paneles de admin escondidos o con un nombre no usual), entre otras.

Para usar esto solamente hay que agregar /server-status/
EDIT: Para visualizarlo por ahi de una manera mas comoda para algunos hay que agregar ?notable
          O sea que quedaria asi  /server-status?notable/


Ejemplo:You are not allowed to view links. Register or Login
                  You are not allowed to view links. Register or Login



Google dork: inurl:/server-status/ + intext:apache status


Espero que les guste, saludos!
« Última modificación: Noviembre 01, 2012, 01:51:16 pm por Abnormality »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5778
  • Actividad:
    100%
  • Country: ar
  • Reputación 42
  • ANTRAX
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:Apache Server Status [info]

  • en: Octubre 30, 2012, 09:46:31 pm
Buenisimo Abnormality!
+KARMA


Desconectado Oggy

  • *
  • Underc0der
  • Mensajes: 50
  • Actividad:
    0%
  • Reputación 0
  • Hola mundo cruel
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Octubre 30, 2012, 10:15:13 pm
Muy util brother, lo Digo por experiencia propia.
Adrian (Okol)  vivio la vez en la que descubri que está función (mod) estaba enabled en X pagina la cual me dejaba apropiarme de El servicio que eyos ofrecen actualmente & de las cuentas de los Usuarios, todo porque Mostraba información (url's) privadas y Datos que pasaban por el servidor mediante la interacción de php con ellos, la pagina Como logicamente adivinaran estaba hecha en php y bueno.... 600 dolares gané esa vez solamente por la curiosidad.


Desconectado WARsec

  • *
  • Underc0der
  • Mensajes: 86
  • Actividad:
    0%
  • Reputación 0
  • "tierra de libertad,casa de los valientes."
    • Ver Perfil

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 12:45:49 am
solo es necesario que corra en apache?

y a todo esto , hay forma de quitarlo? osea si tengo mi web corriendo apache puedo eliminar eso?

Desconectado Abnormality

  • *
  • Underc0der
  • Mensajes: 392
  • Actividad:
    0%
  • Reputación 0
  • %SystemRoot%
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 12:52:14 am
You are not allowed to view links. Register or Login
solo es necesario que corra en apache?

y a todo esto , hay forma de quitarlo? osea si tengo mi web corriendo apache puedo eliminar eso?

Si, solo es necesario que corra apache. Si lo podes quitar para que solo pueda ser accedido desde ciertas IPs.

Desconectado WARsec

  • *
  • Underc0der
  • Mensajes: 86
  • Actividad:
    0%
  • Reputación 0
  • "tierra de libertad,casa de los valientes."
    • Ver Perfil

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 12:58:49 am
You are not allowed to view links. Register or Login
You are not allowed to view links. Register or Login
solo es necesario que corra en apache?

y a todo esto , hay forma de quitarlo? osea si tengo mi web corriendo apache puedo eliminar eso?

Si, solo es necesario que corra apache. Si lo podes quitar para que solo pueda ser accedido desde ciertas IPs.

gracias!

Desconectado Abnormality

  • *
  • Underc0der
  • Mensajes: 392
  • Actividad:
    0%
  • Reputación 0
  • %SystemRoot%
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 06:19:05 am
Ahi le hice un edit

Desconectado zoro248

  • *
  • Underc0der
  • Mensajes: 238
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 11:21:14 am
Checando, tengo una pagina, vere que tan vulnerable es

<!-- Saludos -->

Desconectado Pr0ph3t

  • *
  • Underc0der
  • Mensajes: 427
  • Actividad:
    0%
  • Reputación 0
  • © Underc0de Team
    • Ver Perfil

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 12:03:45 pm
Excelente aporte Abnormality, sigue así.
Twitter: @The_Pr0ph3t
[email protected]

Desconectado Deyual

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 01:47:40 pm
sabes, lo he intentado, pero no me funciono.

Lo probé en mi servidor recién instalado, y nada. ¿alguna idea?

Desconectado Oggy

  • *
  • Underc0der
  • Mensajes: 50
  • Actividad:
    0%
  • Reputación 0
  • Hola mundo cruel
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 02:28:46 pm
Deyual este mod de apache se debe configurar, y basicamente lo que hace es monitorear el servidor y dar un informe sobre lo que está pasando en tiempo real, también da información sobre las url's a las que se les hace petición,  esto es peligroso a ojos de todos, al poder ver las url's a las que se les hace peticiones pueden ir  credenciales de logueo.
no todos los servidores tienen este mod a ojos de todos, pueden restirngir las ip's que quieran & para comodidad de el Administrador puede ejecutar este mod desde su consola.


aqui dejo la guia en español sobre este mod You are not allowed to view links. Register or Login


 puede ser un veneno para el admin, pero se puede convertir en medicina si se sabe administrar.

Desconectado Deyual

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 09:45:35 pm
You are not allowed to view links. Register or Login
Deyual este mod de apache se debe configurar, y basicamente lo que hace es monitorear el servidor y dar un informe sobre lo que está pasando en tiempo real, también da información sobre las url's a las que se les hace petición,  esto es peligroso a ojos de todos, al poder ver las url's a las que se les hace peticiones pueden ir  credenciales de logueo.
no todos los servidores tienen este mod a ojos de todos, pueden restirngir las ip's que quieran & para comodidad de el Administrador puede ejecutar este mod desde su consola.


aqui dejo la guia en español sobre este mod You are not allowed to view links. Register or Login


 puede ser un veneno para el admin, pero se puede convertir en medicina si se sabe administrar.


Se ve interesante y poderoso, aunque no lo usare por ahora, estoy recién comenzando con apache y no me quiero envenenar :P.

Desconectado Alex

  • *
  • Moderador Global
  • Mensajes: 877
  • Actividad:
    3.33%
  • Country: 00
  • Reputación 9
    • Ver Perfil
    • MI github
    • Email

Re:Apache Server Status [info]

  • en: Octubre 31, 2012, 10:04:31 pm
la verdad es bastante interesante, no tenía idea de que esto existía.

saludos!

Desconectado Oggy

  • *
  • Underc0der
  • Mensajes: 50
  • Actividad:
    0%
  • Reputación 0
  • Hola mundo cruel
    • Ver Perfil
    • Email

Re:Apache Server Status [info]

  • en: Noviembre 02, 2012, 11:05:08 am
Leean esta entrada De chema alonso.

You are not allowed to view links. Register or Login