Concurso Nº1: "Hack My Server"

Iniciado por dimitrix, 25 Abril 2012, 00:40 AM

0 Miembros y 1 Visitante están viendo este tema.

opportunity

¿Alguien sabe si PHP esta configurado como CGI o como modulo del servidor web?

Hace unas semanas apareció una vulnerabilidad bastante gorda que afecta a los servers con php configurado como cgi.

http://www.pentester.es/2012/05/explotando-php-cgi.html

¿Se podría configurar como cgi para probarlo?

pwnz

Si no me equivoco no está como cgi, por lo menos lo que yo intenté no dio ningún resultado >:(

s4dr10s

Yo creo que el servidor al no tener ninguna aplicacion y toda esta bien configurado y sobre todo porque no tiene nada es muy seguro, el hecho de que no tenga nada hace que sea mas dificil encontrarle una vulnerabilidad a pesar de que no tenga firewall activado asique ojala le coloquen mas aplicaciones para poder testear mas facilmente xD

Meta

Cita de: 11Sep en  8 Mayo 2012, 22:09 PM
El servicio que usé fue: http://www.domaintools.com/research/reverse-ip/



Tenía entendido que se podía subir shell por el phpinfo() modifiqué las cabeceras con HTTP Live Headers pero no resultó (ni un XSS).

Saludos!



Bueno, heche un vistazo en el Plesk y subi una phpshell
http://p*************s.c*m/css/C99.php (safemode off  ;D), di permisos 777 a la carpeta para poder "trabajar" tranquilo, compile y probe este exploit (el segundo) pero no me sirvio. No cuento con más tiempo así que creo que por hoy termine.

Saludos!

Hola:

Uno que he visto muy bueno es este de abajo. Lo bueno que tiene es que puedes descargar o actualiza la base de datos.
http://ipinfodb.com/




Un cordial saludo.
Tutoriales Electrónica y PIC: http://electronica-pic.blogspot.com/

D_pit_88

***** llegue tarde , por que nadie me avisa ?
Linux Es debido a la deficiencia de windows

dimitrix

Cita de: D_pit_88 en 13 Mayo 2012, 13:41 PM
***** llegue tarde , por que nadie me avisa ?

No pagaste la cuota.




No tengo 'nada' de tiempo. Alguien que sepa de Linux y pueda instalar sin problemas la versión anterior de proFTP para probar la vulnerabilidad?

Logicamente le doy la cuenta SSH.




D_pit_88

yo puedo dejarte mi ordenador como servidor para probar la vulnerabilidad del proFTP en un ubuntu
Linux Es debido a la deficiencia de windows

dimitrix

Cita de: D_pit_88 en 14 Mayo 2012, 18:03 PM
yo puedo dejarte mi ordenador como servidor para probar la vulnerabilidad del proFTP en un ubuntu

Tenemos un servidor, gracias.




D_pit_88

ok si en un futuro necesitáis otro servidor cuenta con migo ;)
Linux Es debido a la deficiencia de windows

dimitrix

Cita de: D_pit_88 en 14 Mayo 2012, 18:24 PM
ok si en un futuro necesitáis otro servidor cuenta con migo ;)

De todos modos D_pit_88 el mes que viene hacemos otro Hack My Server que seguramente será "Hack My Server: Wordpress".