[SOLUCIONADO] cómo realizar auditorias en paginas ASPX

Iniciado por elman, Enero 27, 2021, 11:56:57 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 27, 2021, 11:56:57 AM Ultima modificación: Febrero 05, 2021, 12:17:11 AM por AXCESS
Buenas chicos,
voy al grano, se puede aplicar SQL inyection en paginas webs escritas en You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ,
cual sería lo mas recomendable aprender para realizar auditorias en este tipos de paginas?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Enero 27, 2021, 07:08:16 PM #1
claro que lo puedes hacer que formulario quieres consultar? un login, search, desd la URL?

salu2
"Human Stupidity that's why Hackers always win."
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login importante ahora es subir el # de post en un foro wtf 😂
😂 CTRL + p
DORK
Enero 28, 2021, 05:21:28 AM #2
Muy buenas,

Sí, se puede realizar SQL injection en páginas ASPX. Las diferencias que te puedes encontrar respecto a una página escrita en PHP son muy pocas, te dejo algunos TIPs:


  • Es posible que las XSS normales no te funcionen por el WAF que incluyen los servidores IIS, una forma de realizar Bypass es incluyendo esto en las XSS Stored: "><script>alert(0)</script>
  • Si quieres explotar una subida de ficheros insegura no lo harás con ficheros .php, si no con ficheros .aspx .asp o .config
  • Cuando quieras realizar fuzzing de directorios puedes usar listas para servidores IIS: "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login"
  • Los servidores IIS suelen tener problemas con mayúsculas y minúculas, puedes jugar con eso para byppasear un código 403 o conseguir ver el código fuente de los ficheros: "/coDe403" o "content.ASPX"
  • En caso de tener un LFI deberás buscar ficheros de Windows en lugar del clásico /etc/passwd
  • Puedes utilizar Davtest para intentar subir una shell
  • Puedes intentar explotar la vulnerabilidad ms10-070: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
  • Puedes intentar listar directorios y ficheros a través de los Shortnames: You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Saludos.
RollthBuen hacker mejor You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login/You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario