Hola, tengo una duda:
Que es mejor:
¿ Hacer un Fuzzer o buscar uno mismo bugs si se trata de un servidor de chat?
Gracias y saludos
Buscar manualmente vulnerabilidades siempre ha sido lo más eficaz, aunque todos empezamos por lo mismo, con la ayuda de algún programa de terceros como el famoso Acunetix.
Saludos
Hola Stiuvert,
pero como puedo buscar vulnerabilidades manualmente? Si el programador se equivoco, como no se va a equivocar una persona en busca de vulnerabilidades de la manera que no se de cuenta de una vulnerabilidad?
Gracias y saludos
Esa es la gracia, el que busca vulnerabilidades debe saber más que el programador.
Si no sabes absolutamente nada te recomiendo que entres al subforo talleres y practiques las vulnerabilidades típicas; SQL injection, XSS...
Saludos
Hola Stiuvert,
pero y si la vulnerabilidad no se trata de SQL ni de XSS?
Ya que me refiero a un servidor de chat que solo fue programado en C#. En este caso... que puedo hacer?
Gracias y saludos
No importa el lenguaje el cual fue programado, el chat Messenger de Facebook fue vulnerado por un código HTML bastante sencillo.
Es cuestión de ver donde está alojado ese chat, ver el tipo de Servidor, que contiene, directorios, intentar colar una shell para obtener control remoto, ingeniería inversa con la víctima, plugins instalados o desactualizados, etc
Saludos
Hola Stiuvert,
espera...
1) A que te refieres con a donde esta alojado el chat? En una red P2P?
2) Cuantos tipos de servidores existen? Cuales?
3) A que te refieres con que contiene?
4) Hablemos de Sb0t. Sb0t no tiene directorios. O a que te refieres?
Gracias y saludos
Los ejemplos que te doy no están enfocados específicamente a tu pregunta sino a ámbito general.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
1) A que te refieres con a donde esta alojado el chat? En una red P2P?
Ver si está alojado en algún CMS en particular, o está programado totalmente por el programador.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
2) Cuantos tipos de servidores existen? Cuales?
Podría estar alojado en un hosting, VPS o en local.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
3) A que te refieres con que contiene?
Dentro de un CMS puedes encontrar plugins desactualizados y posiblemente vulnerables. Además si buscas vulnerabilidades no te debes fijar en lo primero que veas, intenta indagar y busca otras vías, como por ejemplo la subida de una shell.
No tienes permitido ver enlaces.
Registrate o Entra a tu cuenta
4) Hablemos de Sb0t. Sb0t no tiene directorios. O a que te refieres?
No lo conozco, lo he estado mirando y claro, no es sencillo. No es como buscar una web vulnerable a XSS.
Yo te he guiado un poco hablando a modo general. Ahora depende de ti empezar a investigar y sobretodo a comprender que tipos de vulnerabilidades existen y como explotarlas.
Más de esto yo no te puedo ayudar, saludos
Hola Stiuvert,
y adonde puede leer sobre como colar o subir una shell en un servidor escrito totalmente en C#(nada de web ni XSS)?
Gracias y saludos
Simple Shell Remota (https://underc0de.org/foro/codigos-fuentes-56/simple-shell-remota/)
upload.php [Vulnerabilidad] (https://underc0de.org/foro/pentest/upload-php-(vulnerabilidad))
[SOLUCIONADO] Webshells? Donde empezar? (https://underc0de.org/foro/dudas-generales-121/(solucionado)-webshells-donde-empezar)
Hola Stiuvert,
pero en los links solo se habla de subir shells a servidores web y no a servidoresno web como Sb0t, que fue completamente programado en C#. Verdad?
Gracias y saludos
Exactamente
Desconozco como hacerlo en ese chat en C#.
Saludos
Emmm....
solo pregunte si subir una shell en un servidor de chat escrito completamente en C# es posible...
Gracias
Hola @Adalher (https://underc0de.org/foro/index.php?action=profile;u=64786), no abras dos topics para lo mismo por favor, marco este como solucionado y te contesto en el otro (https://underc0de.org/foro/dudas-generales-121/como-subir-shell-en-un-chat-de-c/)