Reporte un fallo de mi universidad y te lo muestro

Iniciado por Mentas, Diciembre 13, 2015, 09:39:26 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Diciembre 13, 2015, 09:39:26 PM

Hola Amigos de underc0de hoy les mostrare como es que vulnere la pagina de mi universidad y lograr poder cambiar mis notas, cambiar grupos, imprimir títulos y ver en donde viven cada uno de los estudiantes que están en la uní y muchas otras cosas mas .  bueno empezamos. Cuando iba a entrar a la universidad pues dije vamos a ver si tienen pagina y así fue tenían pagina como cualquier otra universidad hoy en día , entonces como ya sabia algunas cosas de seguridad web empece a escanear la pagina,  encontrar fallos y esas cosas por el estilo así que no me tomo mucho tiempo encontrar su fallo el fallo consistía en una simple inyección sql  y dije sorpresa tengo la base de datos ahora hay que sacar los usuarios y contraseñas entonces como hay una herramienta que te lo hace ya casi todo pues lo que hice fue nada mas insertar la pagina poner unos comandos y ya la herramienta es
este   sqlmap 
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Lo pueden bajar de la pagina oficial pero kali linux ya lo trae instalado por defecto ya obtenido los usuarios ingrese al servicios escolares haber si uno de esos usuarios era administrador o algo parecido y si tenia acceso total a pagina y podía modificar todo

y oh sorpresa el menu de la administrador

aqui podia ver el expediente de cada alumno
desde el primero que ingreso asta el ultimo que salio

en este menu podia cambiar de grupo a cualquier alumno

y asta aquí pensé puedo hacer muchas cosas malas y que se jodan los alumnos,  tenia muchas cosas en la mente de vender calificaciones subir promedios y todo eso pero lo reporte personal mente con un profesor de la universidad pensé que me iban a correr xD pero asta me felicito y eso  y le digo oiga puedo cambiar mi calificación en forma de broma  y me dice si y (yo yeah xd ) pero se darán cuenta los profesores xD y dije bueno ya que y le dije espero y arreglen la pagina ya que es muy fácil ingresar y otra persona pueda vender nuestros datos ya que hay esta todo y asta ahorita no han echo nada  asi que por eso no puedo dar mas datos de la universidad =) bye eso es todo



Diciembre 14, 2015, 12:36:28 AM #1 Ultima modificación: Diciembre 14, 2015, 12:38:05 AM por EPSILON
Una lastima que expongan tanta información en internet. Buen trabajo, pero yo le hubiera subido una shell para terminar el trabajo.  :P

Saludos!
Diciembre 14, 2015, 04:16:59 AM #2
Buen trabajo!

La seguridad es bastante mala en tu universidad, en España la gran mayoría de institutos alojan las cosas en servidores distintos (muchos ya utilizan Linux ), usan NAS y SAN y además algunos ya realizan subredes.


Saludos
Diciembre 14, 2015, 09:13:07 AM #3
Bueno esto es tipico, en ciertas universidades (que logicamente no voy a mencionar) puedes incluso entrar y ver la nómina del profesor cuya cuenta has entrado, reportar la vulnerabilidad y que tras varios meses sigan sin haberla arreglado...
RollthBuen hacker mejor No tienes permitido ver los links. Registrarse o Entrar a mi cuenta/No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Diciembre 14, 2015, 09:18:48 AM #4
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,
que CMS usa tu universidad?

Saludos!
ANTRAX

Diciembre 14, 2015, 11:58:27 AM #5
Genial exposición. Lo   más gracioso es que para ser una página manejada por personal de Universidad diga:
"...previamente aprovado..." JAJAJA Es demasiado jocoso.
Diciembre 14, 2015, 02:08:18 PM #6
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Hola @No tienes permitido ver los links. Registrarse o Entrar a mi cuenta,
que CMS usa tu universidad?

Saludos!
ANTRAX
usan bootstrap    ;)
Diciembre 14, 2015, 04:52:37 PM #7
jajaja pues es curioso como las instituciones que se supone deberían vigilar más su seguridad no lo hacen... si se tratara de un black hat podrías haber hecho realmente lo que quisieras.... ai carallo
Imprimir
Ir Arriba Páginas1
Acciones del Usuario