send
Grupo de Telegram
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Vulnerabilidad: Auto Uploader

  • 9 Respuestas
  • 3050 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado unkdown

  • *
  • Underc0der
  • Mensajes: 48
  • Actividad:
    0%
  • Reputación 0
  • Knowledge is free.
    • Ver Perfil
  • Twitter: zanutsec
« en: Junio 12, 2015, 10:18:15 am »
► Vulnerabilidad: inurl:examples/uploadbutton.html
Este tutorial esta realizado con fines educativos y para su estudio.
Es una vulnerabilidad, que según me han comentado varias personas ya, es muy antigua, pero todavía hay miles de webs con esa vulne.
Saludos, @Zanut



Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #1 en: Junio 12, 2015, 11:19:08 am »
No me gusta el post. Falta info.
Ese dork lo que hace es buscar los archivos de KindEditor (Un editor de HTML) subidos al servidor. Es como el viejo truco de buscar "/install/index.php" para reiniciar las bases de datos de un servidor si éste se montaba con PHPNuke y demás.
Si el administrador del site deja al alcance de cualquiera las herramientas de edición de la página... ES TONTO (Cualquier perito informático te lo dirá).
¿Sólo se os ocurre hacer un deface? ¿Nadie intentaría rootear el sistema? ¿Cómo lo intentaríais?

Sería un buen momento para You are not allowed to view links. Register or Login, instalarlo en una máquina virtual y hacer pruebas.
« Última modificación: Junio 12, 2015, 11:22:25 am por rand0m »
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado unkdown

  • *
  • Underc0der
  • Mensajes: 48
  • Actividad:
    0%
  • Reputación 0
  • Knowledge is free.
    • Ver Perfil
  • Twitter: zanutsec
« Respuesta #2 en: Junio 12, 2015, 01:07:43 pm »
You are not allowed to view links. Register or Login
No me gusta el post. Falta info.
Ese dork lo que hace es buscar los archivos de KindEditor (Un editor de HTML) subidos al servidor. Es como el viejo truco de buscar "/install/index.php" para reiniciar las bases de datos de un servidor si éste se montaba con PHPNuke y demás.
Si el administrador del site deja al alcance de cualquiera las herramientas de edición de la página... ES TONTO (Cualquier perito informático te lo dirá).
¿Sólo se os ocurre hacer un deface? ¿Nadie intentaría rootear el sistema? ¿Cómo lo intentaríais?

Sería un buen momento para You are not allowed to view links. Register or Login, instalarlo en una máquina virtual y hacer pruebas.

Info donde?
Bien pensado, lo instalare... a ver que tal.

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #3 en: Junio 12, 2015, 01:21:14 pm »
You are not allowed to view links. Register or Login
Info donde?
Bien pensado, lo instalare... a ver que tal.

Pues mira:
  • Cuál es el fallo de la vulnerabilidad
  • Métodos para paliar el ataque
  • Análisis del error
Ni siquiera comentabas que lo que provoca el deface es KindEditor.
Lo bonito de esta vulnerabilidad es que nos da un motivo para prestarle atención al editor y buscar lo máximo de él.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado Alvares97

  • *
  • Underc0der
  • Mensajes: 69
  • Actividad:
    0%
  • Reputación 0
  • Todo es tan Dificil antes de ser sencillo
    • Ver Perfil
    • Playa de bits
    • Email
« Respuesta #4 en: Julio 02, 2015, 10:34:35 pm »
Este video es para niños que quieran creerse hackers  ;D
esta permitido caerse pero levantarse es obligatorio

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #5 en: Julio 02, 2015, 11:28:47 pm »
@You are not allowed to view links. Register or Login , Si bien el video es bastante básico y no muestra donde se genera la falla  o como se fixea, sigue siendo un bug que puede encontrarse en cualquier web importante y no por eso es menos. Y esta de más decir que mostrar un PoC o un bug de forma rápida y basica no necesariamente tiene que estar destinados a lammers ya que los mismos pueden surgir en cualquier situacion y  no solo por un simple post facilitando un fallo basico, el destino y el conocimiento de ellos esta en ellos mismos no en un post.

Saludos!

Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 215
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #6 en: Julio 03, 2015, 05:08:04 am »
You are not allowed to view links. Register or Login
Y esta de más decir que mostrar un PoC o un bug de forma rápida y basica no necesariamente tiene que estar destinados a lammers ya que los mismos pueden surgir en cualquier situacion y  no solo por un simple post facilitando un fallo basico, el destino y el conocimiento de ellos esta en ellos mismos no en un post.

Pues sinceramente para subir un vídeo sin saber ni siquiera qué es lo que está fallando me parece LAMMER.
Este foro está lleno de post de ese tipo y cada vez que los leo siento mucha penita. No hay interés en nada.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado EPSILON

  • *
  • Underc0der
  • Mensajes: 367
  • Actividad:
    0%
  • Reputación 0
  • epsilon@crypt.am
    • Ver Perfil
  • Skype: epsilon.root1
« Respuesta #7 en: Julio 03, 2015, 02:59:48 pm »
Repito: Crear un post con un PoC no es lammer, porque tranquilamente el que hace un video mostrando una prueba de concepto puede saber mas que todos nosotros juntos, y tampoco es lammer el que lo ve, el lammer es el que se limita  a utilizarlo y no estudia más su falla, y eso queda en cada persona.


Acá dejo la definicion de la Wiki.
Citar
Se trata de una persona que presume de tener unos conocimientos o habilidades que realmente no posee y que no tiene intención de aprender.

Saludos!
« Última modificación: Julio 03, 2015, 03:02:09 pm por EPSILON »

Desconectado Alvares97

  • *
  • Underc0der
  • Mensajes: 69
  • Actividad:
    0%
  • Reputación 0
  • Todo es tan Dificil antes de ser sencillo
    • Ver Perfil
    • Playa de bits
    • Email
« Respuesta #8 en: Julio 03, 2015, 08:12:05 pm »
You are not allowed to view links. Register or Login
@You are not allowed to view links. Register or Login , Si bien el video es bastante básico y no muestra donde se genera la falla  o como se fixea, sigue siendo un bug que puede encontrarse en cualquier web importante y no por eso es menos. Y esta de más decir que mostrar un PoC o un bug de forma rápida y basica no necesariamente tiene que estar destinados a lammers ya que los mismos pueden surgir en cualquier situacion y  no solo por un simple post facilitando un fallo basico, el destino y el conocimiento de ellos esta en ellos mismos no en un post.

Saludos!

Pues bueno creo que tienes razon , te ofresco mis disculpas por mi comentario anterior.
Saludos
esta permitido caerse pero levantarse es obligatorio

Desconectado Decode

  • *
  • Underc0der
  • Mensajes: 64
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #9 en: Septiembre 16, 2015, 07:42:03 pm »
De todos modos es un aporte como cualquier otro, a cualquiera le podrá servir..

Saludos.

 

¿Te gustó el post? COMPARTILO!



Script en Python + Perl para explotar la vulnerabilidad ASP.net Relleno Oracle.

Iniciado por M@rkd0wn

Respuestas: 0
Vistas: 1326
Último mensaje Agosto 04, 2015, 03:30:46 am
por M@rkd0wn
Vulnerabilidad Cloudflare

Iniciado por inzect02

Respuestas: 8
Vistas: 3595
Último mensaje Junio 16, 2013, 04:17:02 pm
por zoro248
Algunos métodos para Bypassear un uploader PHP

Iniciado por LionSec

Respuestas: 1
Vistas: 1757
Último mensaje Junio 08, 2015, 10:56:04 pm
por EPSILON