comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Reporte un fallo de mi universidad y te lo muestro

  • 7 Respuestas
  • 3857 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado Mentas

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« en: Diciembre 13, 2015, 09:39:26 pm »

Hola Amigos de underc0de hoy les mostrare como es que vulnere la pagina de mi universidad y lograr poder cambiar mis notas, cambiar grupos, imprimir títulos y ver en donde viven cada uno de los estudiantes que están en la uní y muchas otras cosas mas .  bueno empezamos. Cuando iba a entrar a la universidad pues dije vamos a ver si tienen pagina y así fue tenían pagina como cualquier otra universidad hoy en día , entonces como ya sabia algunas cosas de seguridad web empece a escanear la pagina,  encontrar fallos y esas cosas por el estilo así que no me tomo mucho tiempo encontrar su fallo el fallo consistía en una simple inyección sql  y dije sorpresa tengo la base de datos ahora hay que sacar los usuarios y contraseñas entonces como hay una herramienta que te lo hace ya casi todo pues lo que hice fue nada mas insertar la pagina poner unos comandos y ya la herramienta es
este   sqlmap 
http://sqlmap.org/
Lo pueden bajar de la pagina oficial pero kali linux ya lo trae instalado por defecto ya obtenido los usuarios ingrese al servicios escolares haber si uno de esos usuarios era administrador o algo parecido y si tenia acceso total a pagina y podía modificar todo

y oh sorpresa el menu de la administrador

aqui podia ver el expediente de cada alumno
desde el primero que ingreso asta el ultimo que salio

en este menu podia cambiar de grupo a cualquier alumno

y asta aquí pensé puedo hacer muchas cosas malas y que se jodan los alumnos,  tenia muchas cosas en la mente de vender calificaciones subir promedios y todo eso pero lo reporte personal mente con un profesor de la universidad pensé que me iban a correr xD pero asta me felicito y eso  y le digo oiga puedo cambiar mi calificación en forma de broma  y me dice si y (yo yeah xd ) pero se darán cuenta los profesores xD y dije bueno ya que y le dije espero y arreglen la pagina ya que es muy fácil ingresar y otra persona pueda vender nuestros datos ya que hay esta todo y asta ahorita no han echo nada  asi que por eso no puedo dar mas datos de la universidad =) bye eso es todo



 

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 364
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #1 en: Diciembre 14, 2015, 12:36:28 am »
Una lastima que expongan tanta información en internet. Buen trabajo, pero yo le hubiera subido una shell para terminar el trabajo.  :P

Saludos!
« Última modificación: Diciembre 14, 2015, 12:38:05 am por EPSILON »

Desconectado Stiuvert

  • *
  • Colaborador
  • *
  • Mensajes: 2668
  • Actividad:
    1.67%
  • Reputación 14
    • Ver Perfil
  • Skype: stiuvert@gmail.com
  • Twitter: @Stiuvert
« Respuesta #2 en: Diciembre 14, 2015, 04:16:59 am »
Buen trabajo!

La seguridad es bastante mala en tu universidad, en España la gran mayoría de institutos alojan las cosas en servidores distintos (muchos ya utilizan Linux ), usan NAS y SAN y además algunos ya realizan subredes.


Saludos

Desconectado rollth

  • *
  • Underc0der
  • Mensajes: 874
  • Actividad:
    0%
  • Reputación 16
  • El conocimiento es libre.
    • Ver Perfil
    • Whateversec
    • Email
  • Twitter: @RoloMijan
« Respuesta #3 en: Diciembre 14, 2015, 09:13:07 am »
Bueno esto es tipico, en ciertas universidades (que logicamente no voy a mencionar) puedes incluso entrar y ver la nómina del profesor cuya cuenta has entrado, reportar la vulnerabilidad y que tras varios meses sigan sin haberla arreglado...

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5409
  • Actividad:
    20%
  • Reputación 33
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #4 en: Diciembre 14, 2015, 09:18:48 am »
Hola @Mentas,
que CMS usa tu universidad?

Saludos!
ANTRAX


Desconectado po6xsecpo

  • *
  • Underc0der
  • Mensajes: 45
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
  • Skype: po6xsecpo@gmail.com
« Respuesta #5 en: Diciembre 14, 2015, 11:58:27 am »
Genial exposición. Lo   más gracioso es que para ser una página manejada por personal de Universidad diga:
"...previamente aprovado..." JAJAJA Es demasiado jocoso.

Desconectado Mentas

  • *
  • Underc0der
  • Mensajes: 6
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #6 en: Diciembre 14, 2015, 02:08:18 pm »
Hola @Mentas,
que CMS usa tu universidad?

Saludos!
ANTRAX
usan bootstrap    ;)

Desconectado benitopro

  • *
  • Underc0der
  • Mensajes: 1
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • Email
« Respuesta #7 en: Diciembre 14, 2015, 04:52:37 pm »
jajaja pues es curioso como las instituciones que se supone deberían vigilar más su seguridad no lo hacen... si se tratara de un black hat podrías haber hecho realmente lo que quisieras.... ai carallo

 

¿Te gustó el post? COMPARTILO!