[Google Hacking] Leak de Britishsexcontacts!!!

  • 10 Respuestas
  • 5956 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Rootkit_Pentester

  • *
  • Underc0der
  • Mensajes: 217
  • Actividad:
    0%
  • Reputación 8
    • Ver Perfil
    • Email

[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Marzo 23, 2017, 11:22:40 pm
Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

http://www.britishsexcontacts.com/Members/Reply.php?sid=47486

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

Desconectado novak

  • *
  • Underc0der
  • Mensajes: 102
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Marzo 24, 2017, 12:22:58 pm
No podías utilizarlo en una floristería o en una empresa de oficinas heeee. ;D ;D ;D ;D ;D


Desconectado Rootkit_Pentester

  • *
  • Underc0der
  • Mensajes: 217
  • Actividad:
    0%
  • Reputación 8
    • Ver Perfil
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Marzo 24, 2017, 07:58:56 pm
jajaja muy buena!!!.

Desconectado DUDA

  • *
  • Underc0der
  • Mensajes: 338
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • Ver Perfil

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Marzo 28, 2017, 06:08:29 pm
No lo he reportado todavia al admin!!!.

Ya entiendo porque  8)

Desconectado n0z

  • *
  • Underc0der
  • Mensajes: 43
  • Actividad:
    3.33%
  • Reputación 0
    • Ver Perfil
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Marzo 28, 2017, 09:13:58 pm
Les cuento que jugando un poco con esto consegui un sql error. No lo he tratado de explotar aun

Desconectado mahajan344

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Abril 29, 2017, 06:27:11 am
they have fixed it

Desconectado baah

  • *
  • Underc0der
  • Mensajes: 11
  • Actividad:
    0%
  • Country: 00
  • Reputación 1
  • Let´s go to find hacks!
    • Ver Perfil
    • informaticaparagallinas

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Mayo 31, 2017, 09:16:44 am
Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

http://www.britishsexcontacts.com/Members/Reply.php?sid=47486

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas  ;D ;D ;D ;D

Un saludo!
Comprueba si tus datos han sido publicados haciendo click en la siguiente imagen:




Desconectado Rootkit_Pentester

  • *
  • Underc0der
  • Mensajes: 217
  • Actividad:
    0%
  • Reputación 8
    • Ver Perfil
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Mayo 31, 2017, 06:15:33 pm
Citar
bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas  ;D ;D ;D ;D

Un saludo!

Gracias. Un saludo capo!. Y esperamos tus aportes!!!.

Desconectado Hach8D

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 1
    • Ver Perfil

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Mayo 27, 2018, 09:16:28 pm
Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Citar
Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.



Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26


Desconectado sadfud

  • *
  • Moderator
  • Mensajes: 209
  • Actividad:
    0%
  • Country: cl
  • Reputación 10
  • Skype: SadFud75
    • Ver Perfil
    • Blog

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Mayo 30, 2018, 10:05:21 pm
Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Citar
Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.



Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26

Posiblemente vulnerable a sqli con booleanos, sigue por ese camino :D
Si necesitas ayuda, no dudes en mandar MP

Desconectado Drok3r

  • *
  • Underc0der
  • Mensajes: 51
  • Actividad:
    0%
  • Reputación 1
  • Twitter: @drok3r
    • Ver Perfil
    • RedBird

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • en: Junio 09, 2018, 09:19:25 pm
Mientras jugaba con tu dork, me di cuenta que britishsexcontacts[.]com es vulnerable a SQL INJECTION y XSS

--> SQL INJECTION
http://www.britishsexcontacts.com/Members/Reply.php?sid=47486'

[!] ERROR SQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 1' at line 1
SELECT Filename, Filename_Private FROM qdgirls WHERE ID = 47486' LIMIT 1;

-->XSS y SQL INJECTION
PoC_1

1.- En la pagina principal (http://www.britishsexcontacts.com/Members/index.php) esta un apartado para realizar busquedas (quiero creer que de usuarios)
2.- Una vez identificado esta seccion ponemos una comilla simple ' y nos notificara el error SQL, el cual puede nos permite realizar una inyeccion
3.- En este mismo apartado ingresamos el payload de javascript '"><script>alert(/X/)</script> y nos levatara el alert

:3

--> XSS
PoC
1.- ingresamos a la pagina principal (http://www.britishsexcontacts.com/Members/index.php)
2.- Ya una vez dentro de la pagina, a la URL le agregamos /'"><script>alert(/X/)</script> para que nos quede de la siguiente forma: http://www.britishsexcontacts.com/Members/index.php/'"><script>alert(/X/)</script> y listo

 

Queres que tu bug aparezca en Hacking ShowOff?

Iniciado por ANTRAX

Respuestas: 0
Vistas: 6879
Último mensaje Enero 17, 2013, 09:35:15 am
por ANTRAX
Hacking en User agent

Iniciado por v4char

Respuestas: 0
Vistas: 2002
Último mensaje Noviembre 19, 2015, 08:37:26 pm
por v4char
XSRF + Cross Site Framing en Google

Iniciado por Dedalo

Respuestas: 6
Vistas: 3926
Último mensaje Agosto 24, 2013, 11:16:05 am
por Fabián Cuchietti
Múltiples XSS en Google (sandboxed)

Iniciado por Fabián Cuchietti

Respuestas: 0
Vistas: 1834
Último mensaje Agosto 21, 2013, 03:27:39 pm
por Fabián Cuchietti
[Open Redirect]Google

Iniciado por sadfud

Respuestas: 2
Vistas: 2940
Último mensaje Julio 20, 2017, 06:32:45 pm
por sadfud