Concurso Nº1: "Hack My Server"

Iniciado por dimitrix, 25 Abril 2012, 00:40 AM

0 Miembros y 1 Visitante están viendo este tema.

Belial & Grimoire

#190
haciendo un escaneo me encontre con esto pero creo tampoco funciona  :-\

o a lo mejor es local

http://xx.xxx.xxx.180/?mod=<script>alert(document.cookie)</script>&op=browse
Sage 1.0b3 is vulnerable to Cross Site Scripting (XSS). CA-2000-02.


P.D. dimitrix me mandas los datos de plesk porfavor
.                                 

Once

#191
Cita de: dimitrix en  8 Mayo 2012, 17:22 PM
11Sep Acabo de acceder y no encuentro nada de v***.***.es ¿Puedes enviarmelo por privado cual es y donde lo ves?

El servicio que usé fue: http://www.domaintools.com/research/reverse-ip/



Tenía entendido que se podía subir shell por el phpinfo() modifiqué las cabeceras con HTTP Live Headers pero no resultó (ni un XSS).

Saludos!



Bueno, heche un vistazo en el Plesk y subi una phpshell
http://p*************s.c*m/css/C99.php (safemode off  ;D), di permisos 777 a la carpeta para poder "trabajar" tranquilo, compile y probe este exploit (el segundo) pero no me sirvio. No cuento con más tiempo así que creo que por hoy termine.

Saludos!

kasiko

En este concurso voy muuuy retrasado  :huh:
Nos vemos...


s4dr10s

Dimitrix podrias enviarme por mp la cuenta del plesk porfavor

dimitrix

Recordar que el objetivo ahora con un simple LINK conseguir un XSS o un SQLi del PLESK.




dimitrix

A todo esto, me han pedido que haga una pequeña conferencia (o taller) sobre seguridad informática tirando a aplicaciones web que es mi fuerte, la realizaré después de verano en la universidad de Valencia.

It's Free. Quien quiera ir que me lo diga por privado y le aviso.




Puntoinfinito

Grábalo y lo subes a YouTube :P
(No podre ir a Valencia)

Saludos y nos nos desviemos del tema xD
AHORA EN SOFTONIC || CLICK HERE!!
Base64: QWNhYmFzIGRlIHBlcmRlciAxIG1pbnV0byBkZSB0dSB2aWRhLiBPbOkh



HACK AND 1337 : http://hackandleet.blogspot.com
WEBSITE: http://www.infiniterware.

tremolero

bufff.... que duro se me hace ver a gente escribiendo todo el rato en el foro y a mi que no se me ocurre nada ni veo nada.... que triste :S pero bueno, seguire mirando jejeje...

Dimitrix si puedes pasarme la cuenta de plesk ^^ y de la conferencia, ya que estamos avisame tambien ;) aunque creo que seria mejor que abrieras un post o algo, porque como tengas que avisar todos xDD, pero eso ya es decision tuya.

Un saludo

opportunity

Echad un vistazo aqui; habla de xss e injecciones sql contra plesk, con ejemplos:

http://www.exploit-db.com/exploits/15313/
http://www.cloudscan.me/2010/09/xss-sql-injection-in-plesk-small.html

Para los que andan perdidos, les aconsejo que instalen el add-on "live http headers" de firefox, les ayudara a ver la informacion (parametros/datos) intercambiada en comunicaciones http. Tmb pueden usar  un proxy local como webscarab ó paros (más sencillo)

opportunity

No me funciona ninguna.
Parece que los enlaces que he pasado son injecciones para plesk sobre windows.