Concurso Nº1: "Hack My Server"

Belial & Grimoire · 8 Mayo 2012, 21:56 PM

haciendo un escaneo me encontre con esto pero creo tampoco funciona $:-\$

o a lo mejor es local

http://xx.xxx.xxx.180/?mod=<script>alert(document.cookie)</script>&op=browse
Sage 1.0b3 is vulnerable to Cross Site Scripting (XSS). CA-2000-02.

P.D. dimitrix me mandas los datos de plesk porfavor

Once · 8 Mayo 2012, 22:09 PM

Cita de: dimitrix en 8 Mayo 2012, 17:22 PM
11Sep Acabo de acceder y no encuentro nada de v***.***.es ¿Puedes enviarmelo por privado cual es y donde lo ves?

El servicio que usé fue: http://www.domaintools.com/research/reverse-ip/

Tenía entendido que se podía subir shell por el phpinfo() modifiqué las cabeceras con HTTP Live Headers pero no resultó (ni un XSS).

Saludos!

Bueno, heche un vistazo en el Plesk y subi una phpshell
http://p*************s.c*m/css/C99.php (safemode off

), di permisos 777 a la carpeta para poder "trabajar" tranquilo, compile y probe este exploit (el segundo) pero no me sirvio. No cuento con más tiempo así que creo que por hoy termine.

Saludos!

kasiko · 9 Mayo 2012, 02:06 AM

En este concurso voy muuuy retrasado

s4dr10s · 9 Mayo 2012, 02:19 AM

Dimitrix podrias enviarme por mp la cuenta del plesk porfavor

dimitrix · 9 Mayo 2012, 09:03 AM

Recordar que el objetivo ahora con un simple LINK conseguir un XSS o un SQLi del PLESK.

dimitrix · 9 Mayo 2012, 09:56 AM

A todo esto, me han pedido que haga una pequeña conferencia (o taller) sobre seguridad informática tirando a aplicaciones web que es mi fuerte, la realizaré después de verano en la universidad de Valencia.

It's Free. Quien quiera ir que me lo diga por privado y le aviso.

Puntoinfinito · 9 Mayo 2012, 13:47 PM

Grábalo y lo subes a YouTube

(No podre ir a Valencia)

Saludos y nos nos desviemos del tema xD

tremolero · 9 Mayo 2012, 14:52 PM

bufff.... que duro se me hace ver a gente escribiendo todo el rato en el foro y a mi que no se me ocurre nada ni veo nada.... que triste :S pero bueno, seguire mirando jejeje...

Dimitrix si puedes pasarme la cuenta de plesk ^^ y de la conferencia, ya que estamos avisame tambien

aunque creo que seria mejor que abrieras un post o algo, porque como tengas que avisar todos xDD, pero eso ya es decision tuya.

Un saludo

opportunity · 9 Mayo 2012, 20:17 PM

Echad un vistazo aqui; habla de xss e injecciones sql contra plesk, con ejemplos:

http://www.exploit-db.com/exploits/15313/
http://www.cloudscan.me/2010/09/xss-sql-injection-in-plesk-small.html

Para los que andan perdidos, les aconsejo que instalen el add-on "live http headers" de firefox, les ayudara a ver la informacion (parametros/datos) intercambiada en comunicaciones http. Tmb pueden usar un proxy local como webscarab ó paros (más sencillo)

opportunity · 9 Mayo 2012, 20:54 PM

No me funciona ninguna.
Parece que los enlaces que he pasado son injecciones para plesk sobre windows.