Concurso Nº1: "Hack My Server"

[Puntoinfinito]

Ah, hostia ya no me acordaba del mes xD
Entonces, ¡Paciencia!

[dimitrix]

Exacto, la idea es que participemos todos, ya que estoy pagando todo esto, lo único que espero es que la gente 'colabore'.

No ataque para probar y no publique lo que encuentra. Si quieren hacer eso me parece muy bien, pero no con mi server. Aquí quien quiere atacar que colabore. Esto es una comunidad :-)

[Breixo]

Yo creo que el punto más débil como habéis comentado es el panel de parallels, esta vulnerabilidad http://kb.parallels.com/en/113313. Con lo que en teoría se podría entrar por ahí.

Pero el problema es que en ningún sitio encuentro realmente en que consiste realmente el fallo, lo único que hay es esto http://www.exploit-db.com/exploits/15313/, pero se trata de un parallels plesk sobre Windows. He tratado de reproducir las peticiones que hace el fulano pero no hay manera de obtener ni siquiera un simple error.

[Puntoinfinito]

Yo estoy preparando todo tipo de cosas para probarlas en cuanto dimitrix me pase su IP xD
¿Me la pasas por favor? Así comenzaré a probar

Saludos

[dimitrix]

Yo creo que el punto más débil como habéis comentado es el panel de parallels, esta vulnerabilidad http://kb.parallels.com/en/113313. Con lo que en teoría se podría entrar por ahí.

Pero el problema es que en ningún sitio encuentro realmente en que consiste realmente el fallo, lo único que hay es esto http://www.exploit-db.com/exploits/15313/, pero se trata de un parallels plesk sobre Windows. He tratado de reproducir las peticiones que hace el fulano pero no hay manera de obtener ni siquiera un simple error.

El problema es que con un SQLi tendrás que escalar mucho, pero puede funcionar.

Yo estoy preparando todo tipo de cosas para probarlas en cuanto dimitrix me pase su IP xD
¿Me la pasas por favor? Así comenzaré a probar

Saludos

No tengo ningún MP tuyo, pero ya te lo he enviado :-P

[[u]nsigned]

Me apunto.

Por otro lado, y no es por tirar malas onda, pero si es un VPS contratado, con plesk y toda la cosa, seguramente este actualizado y bien configurado. Cada VPS nuevo que una empresa alquila no es ams que una copia de una 'imagen' virtual preconfigurada, y dicha empresa depende totalmente de que sus productos sean muy seguros. Es decir, es muyy difcil que un servicio de pago no brinde la mayor seguridad posible y actualizaciones mas recientes de su software...  

Asi que basicamente estariamos auditando gratis xD

Saludos

[h3ct0r]

Mejor aun para testear nosotros, si logramos entrar a un servidor actualizado y en "produccion" es muchisimo mas interesante y divertido. Si no logramos entrar, pues bueno... A seguir estudiando! 

Hay que verle el lado positivo a todo!

Estoy revisando esas sqlinjection y hasta ahora nada, voy a instalar ese plesk aqui local para probar, cualquier novedad la posteo.

[dimitrix]

Me apunto.

Por otro lado, y no es por tirar malas onda, pero si es un VPS contratado, con plesk y toda la cosa, seguramente este actualizado y bien configurado. Cada VPS nuevo que una empresa alquila no es ams que una copia de una 'imagen' virtual preconfigurada, y dicha empresa depende totalmente de que sus productos sean muy seguros. Es decir, es muyy difcil que un servicio de pago no brinde la mayor seguridad posible y actualizaciones mas recientes de su software...  

Asi que basicamente estariamos auditando gratis xD

Saludos

No lo veo cierto de todo, en un VPS/Servidor no administrado la seguridad corre de tu parte.

Además que una se monta el servidor ellos no actualizan el VPS, lo máximo que hacen es una vez al mes enviarte instrucciones de como arreglar los nuevos bugs que han salido, pero ellos no lo arreglan ni lo tocan.

Por otra si el día 15 nadie ha conseguido algo, intalaré aplicaciones 'corrientes' pero que sepa que tienen vulnerabilidades.

[dimitrix]

Ahhh a todo esto, las versiones que están instaladas ya son viejas, no son las más actuales.

[maxim_o]

Bueno leyendo y consultando con nuestro amigo google el proftpd 1.3.3c si las configuraciones están por defecto será dificil romper, ya que lo único que encontre solo funciona si tiene el mod_sql instalado y funcionando y por defecto no es así.
Asi que tendremos que centrarnos en el plesk y/o en otros servicios....