"Base de datos" del CICPC

andergedon · Noviembre 20, 2016, 04:54:56 PM

¡Hola de nuevo! Me encontraba esta mañana en un parque, husmeando un poco el trafico de su wifi libre.

Mientras veía las peticiones DNS una me llamó la atención. "You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login" el CIPC es "Cuerpo de Investigaciones Científicas, Penales y Criminalísticas" de mi país (Venezuela)
Me pareció extraño que alguien navegue por ese tipo de páginas en una red completamente abierta.

Procedí entonces a buscar y escánear esa página, primero jugué con google un rato hasta que encontré "Index of /txt"

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Lo que me llamó la atención en el sitio eran los .txt y sus nombres. Por ejemplo "AHORROS.txt" y su gran coincidencia con el nombre de la página.

Luego de abrir los archivos, BUM. Información que NO debería ser pública aparece.

Nombres completos, servicios afiliados a la caja de ahorros, disponibilidad de ahorros, deuda del aporte patronal, teléfono, dirección y documento de identidad

He visto antes esto de documentos guardados así por así en otras web. Pero de una de las ramas más importantes del cuerpo policial de Venezuela, no me lo esperaba. Hablamos de miles de líneas de datos personales de detectives/agentes de este cuerpo.
Ahora tengo más razones para quejarme de la ineficiencia de los cuerpos de seguridad en mi país...

Además de toda la información comprometida, hay un log de error muy extenso. No lo logro entender muy bien, no tengo mucha experiencia ahí. Pero los warning al mysql, también despiertan mis alarmas.

Cabe destacar que aún no he reportado nada de todo esto.

kafkam · Enero 31, 2017, 01:40:37 PM

Soy Venezolano y pues, me entró curiosidad de revisar si de verdad todavía se mantenía esto... Qué te puedo decir, así estamos hermano.

'or '1'=1 · Enero 31, 2017, 04:31:04 PM

Good job, dirbuster can give you that result and search engine dorks; example:

When you login POST response with the next parameters:

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login show us the next:

/home/cajadeah/public_html/txt/ PATH DISCLOSURE
'simpadsa'@'localhost'
'cajacicp_bolivar'@'localhost'
'cajacicp_miranda'@'localhost'

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login ulalah

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login -> login panel
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login wtf

Moar?

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login (nothing interesting)...

"Base de datos" del CICPC

andergedon

Noviembre 20, 2016, 04:54:56 PM

kafkam

Enero 31, 2017, 01:40:37 PM #1

'or '1'=1

Enero 31, 2017, 04:31:04 PM #2