Menú

Mostrar Mensajes

Esta sección te permite ver todos los mensajes escritos por este usuario. Ten en cuenta que sólo puedes ver los mensajes escritos en zonas a las que tienes acceso en este momento.

Mostrar Mensajes Menú

Mensajes - PenguinS

Páginas1
#1
Bugs y Exploits / Re:Varias formas de ejecutar código en una página web.
Abril 23, 2015, 05:51:18 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Creo que se te olvida lo más obvio, un RCE, i.e: una herramienta para hacer ping a un host online que te pide a través de un input el dominio y lanza algo así: ping.php?domain=underc0de.org
Se podría ejecutar comandos a través de algo tan sencillo como introducir You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login;ls; o You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login || ls o cualquier otra forma de lanzar varios comandos en una única línea.

También se te olvida uno bastante importante, la ejecución de comandos a través de XXE.

Saludos.

Si, me olvide de ellos, tenía prisas. Muchas gracias por compartirlo compañero! :)
#2
Bugs y Exploits / Re:Varias formas de ejecutar código en una página web.
Abril 23, 2015, 03:06:17 PM
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Tambien puedes aprovechar una XSS y ejecutar codigo javascript :)

Si claro, pero en este post me deje de recalcar que me refería a ejecutar código en el lado del servidor :P

Gracias por tu comentario!
#3
Debates, Reviews y Opiniones / Re:Que distro linux prefieres?
Abril 23, 2015, 02:27:06 PM
La verdad es que ArchLinux es una gran distribución, la suelo usar bastante para todas las cosas, para lo demás uso Windows 8.1 que no esta nada mal  :P

Saludos. :)
#4
Bugs y Exploits / Varias formas de ejecutar código en una página web.
Abril 23, 2015, 02:18:43 PM
Hola, no pretendo ser muy extenso con esta entrada pero me gustaría comentar y que compartiesemos varias formas de ejecutar código en una página web, donde tengamos X vulnerabilidad.

Las formas que a mi se me ocurren de ejecutar código son:

Aprovechando LFI:
- Usando el típico /proc/self/environ y con el User-Agent ejecutar código.
- Cargando los logs de acceso o de error de apache o cualquier otro y ejecutar a partir de ahí.
- Obvservar los ficheros que hay a tu alcance para ver si usa funciones como "system,passthru....".
- Los archi conocidos PHP Wrappers.

Aprovechando RFI:
- No hay mucho que decir, ya que si carga el fichero externo te permitira ejecutar código.

Aprovechando SQL Injections.
- Siempre puedes probar suerte con load_file (en caso de que el usuario tenga privilegios o sea root) y probar lo que he comentado en los LFI.
- Si no me equivoco hay un par más de opciones que te permiten cargar ficheros.
- También hay la opción de crear ficheros en rutas con privilegios.

La verdad es que ahora mismo no se me ocurre muchas cosas, ire actualizando mientras vaya recordando cosas, que llevo mucho tiempo sin entrar en el mundo del hacking!

Si quereis id comentando formas :)
#5
Presentaciones y cumpleaños / Mi presentación.
Abril 23, 2015, 02:07:54 PM
¡Hola! Me presento, soy Jose Ignacio. Soy nuevo en este foro donde pretendo ayudar a los demás usuarios y aprender como es de suponer.
Me gusta bastante la seguridad a nivel web ¡y me gustaría compartir con vosotros varios papers!

Nos vemos por aquí ;D
Páginas1