comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

[SQL Injection] http://www.nsche.org.ng/communiquedetail.php?ID=

  • 6 Respuestas
  • 3071 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado charly837

  • *
  • Underc0der
  • Mensajes: 7
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« en: Mayo 09, 2014, 08:37:44 am »
Bueno pues como ayer , estoy en plan malvado  ;D ;D ;D ;D ;D en busqueda de vulnerabilidades en mi afan de aprender mucho sobre el sqlmap, las inyecciones sql y Xss, encontre otra web que expongo a continuacion:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

la vulnerabilidad se encuentra en:

No tienes permisos para ver links. Registrate o Entra con tu cuenta'

comando de sqlmap :

Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
sqlmap.py -u "http://www.nsche.org.ng/communiquedetail.php?ID=" --dbms="MySQL" --risk 1 --level 1 --dbs




Como veis he censurado algunas partes ya que como ayer bien se me dijo es informacion sensible, y es verdad, por tanto no la muestro, ya que el que sepa meter esto, sacar el nombre de la bbdd es pan comido, esta bbdd tiene 86 tablas como esta hay puesto, dentro de una de ellas te puedes encontrar users, yo no he probado a loguearme , asique eso cada uno con su responsabilidad...  :-\ :-\ :-\ :-\

La web tiene pinta de estar ya abandona... esa es mi impresion pero bueno, notifique el fallo al admin de la web mediante Webmaster@nsche.org.ng

asique nada mas , que espero q resulte interesante , un saludete a todos  :D :D :D :D


Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #1 en: Mayo 09, 2014, 08:48:17 am »
Buen trabajo, y bien hecho si lo has reportado

Hay que ir con cuidado con exponer en público las vulnerabilidades, pero también si esta abandonada y el administrador no te contesta se puede utilizar para los que recién empiezan en este mundillo.


Un saludo


Enviado desde mi Smartphone


Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #2 en: Mayo 09, 2014, 06:25:29 pm »
No creo que esté abandonada, en las noticias pone la fecha de publicación, y no es de hace demasiado tiempo, es más, tan solo unos cuantos dias...

Un saludo.

Enviado desde mi Nexus 5 mediante Tapatalk




Desconectado Black Dog:.

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    3.33%
  • Reputación -1
  • No system is safe
    • Ver Perfil
    • Email
« Respuesta #3 en: Mayo 09, 2014, 10:41:01 pm »
Hiciste lo correcto en reportar la falla hermano:.

Desconectado Psymera

  • *
  • Underc0der
  • Mensajes: 75
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #4 en: Mayo 10, 2014, 02:44:31 am »
Solo una cosa, antes de publicar hay un tiempo de espera, que es de 2 meses despues de reportar 4 veces minimo al administrador :4
El conocimiento es libre...
La información no lo es xD

Desconectado blackdrake

  • *
  • Co Admin
  • Mensajes: 1914
  • Actividad:
    1.67%
  • Reputación 15
    • Ver Perfil
« Respuesta #5 en: Mayo 10, 2014, 05:13:05 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Solo una cosa, antes de publicar hay un tiempo de espera, que es de 2 meses despues de reportar 4 veces minimo al administrador :4

Así es, ya que así te aseguras de que esté solventada la vulnerabilidad. Y si no lo está tiempo ha tenido.



Desconectado Jimeno

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación -1
  • NULL
    • Ver Perfil
    • Twitter
  • Skype: migueljimeno96
  • Twitter: "><<img src=y onerror=prompt();>
« Respuesta #6 en: Mayo 10, 2014, 05:53:01 am »

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Solo una cosa, antes de publicar hay un tiempo de espera, que es de 2 meses despues de reportar 4 veces minimo al administrador :4
Yo he reportado fallos a grandes empresas (eBay, Vodafone, etc) y han tardado más de cuatro meses, otras empresas como segment.io tardaron tres horas en fixear la vulnerabilidad.
El tiempo de espera si la empresa no está participando en un Bug Bounty solo depende del usuario.
« Última modificación: Mayo 10, 2014, 05:55:27 am por Jimeno »
Contacto: @migueljimeno96 -

 

¿Te gustó el post? COMPARTILO!



SQLI WAF Bypass y SQLI LoadFile http://www.lasemana.es/

Iniciado por hdbreaker

Respuestas: 0
Vistas: 1178
Último mensaje Julio 25, 2013, 02:55:56 am
por hdbreaker
Me ahorre dos días de espera por un fallo de SQL injection

Iniciado por wgetputolink

Respuestas: 3
Vistas: 1829
Último mensaje Agosto 15, 2016, 12:12:46 pm
por cnfs
www.inameh.gob.ve - SQL Injection [UB]

Iniciado por M5f3r0

Respuestas: 0
Vistas: 1540
Último mensaje Septiembre 28, 2013, 02:32:48 pm
por M5f3r0
SQLI Double Error Based http://campusvirtual.frsf.utn.edu.ar

Iniciado por hdbreaker

Respuestas: 1
Vistas: 1088
Último mensaje Febrero 19, 2013, 06:59:26 pm
por ANTRAX
SQLI Source Data http://bolivia.infoleyes.com/

Iniciado por hdbreaker

Respuestas: 0
Vistas: 1231
Último mensaje Junio 25, 2013, 10:37:19 pm
por hdbreaker