Ver datos ocultos web

Iniciado por Constantinoplero, 6 Mayo 2010, 18:26 PM

0 Miembros y 1 Visitante están viendo este tema.

Constantinoplero

Buenas,

¿Cómo se puede hacer para ver datos ocultos de una página?
Es decir, ver datos que sabes que están en la página pero ocultos, que sólo los puede ver el 'moderador' por así decirlo, y que a ti como usuario no te salen directamente.

Es que existe una plataforma en la que los profesores te van colgando tus notas, pero hay algunas que están ocultas, porque ellos tienen esa opción. Sin embargo sé que están ahí porque la página da el aviso como si hubiesen subido algo 'visible'.
¿Cuál es el procedimiento para verlo? Sólo lectura, nada de cambiarlos evidentemente.

Saludos.
Más que buenos principios prefiero mejores finales.

cgvwzq

A priori no tiene porque verse nada, y mucho menos hay una forma universal de hacer tal cosa. Habría que encontrar algún bug que permitiese hacer tal cosa, por lo tanto depende de la plataforma.

De todas formas aquí van algunas ideas:

- Si solo permite verlo a un grupo determinado, necesitas hacerte pasar por ellos. Es improbable, pero comprueba que no almacenen esa información en las cookies.

- Si hay ficheros en el servidor tendrán una ruta. Supón que estan en la misma de los que puedes ver, e intenta adivinar los nombres.

- Yo me dedicaría a buscar alguna SQLi y con eso haces lo que quieres... O intenta conseguir una cuenta con más privilegios de tu profesor (mitm, phishing, etc.).

¿De que plataforma se trata? Si es algo casero tienes posibilidades, si usan moodle o algo parecido lo tendrás bastante negro.
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



Constantinoplero

A ver la plataforma es www. proevalua. eu , una plataforma en la que están varios centros.

Lo de hacerme pasar por uno de ellos es bastante evidente que sería una solución, pero ellos tienen contraseña como nosotros, y el ataque por fuerza bruta (aparte de ser prácticamente imposible) tienes sólo 5 intentos seguidos fallando sin tener que cerrar el navegador para volver a intentarlo.

- ¿A qué cookies te refieres?
- Las peticiones y direcciones de ellas son ocultas.
Más que buenos principios prefiero mejores finales.

cgvwzq

Lo de las cookies olvidalo. Y no me refería a fuerza bruta sino a sniffear la conexión de un profesor. Aunque lo de fuerza bruta es igualmente factible, hay una cookie en el navegador que es la que comprueba la aplicación, si la borras o no la usas puedes probar tantas veces como quieras.

No puedo acceder a los sistemas de prueba, así que no puedo hacer nada..xD
Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



Constantinoplero

Hola de nuevo,

Sniffear sólo sirve para redes locales, ¿no? Lo digo porque se conectan desde el ordenador de la clase (donde sólo está el suyo) o desde su ordenador personal en su casa. Ni siquiera tengo informática.
Sí, pero también he de decirte que sus contraseñas son largas y alternando números y letras.

Y por último, no entiendo que quieres decir con qué no puedes entrar al sistema de pruebas... ¿Te refieres a entrar en la plataforma como usuario?
Más que buenos principios prefiero mejores finales.

Constantinoplero

Ya sé lo que dices, al sistema de prueba que tiene el enlace abajo. Pero creo que ese será para los desarrolladores o algo similar.
Si quieres te doy un usuario y una contraseña para que veas la plataforma 'por dentro' y me des ideas o sugerencias.

Saludos.
Más que buenos principios prefiero mejores finales.

cgvwzq

Some stuff:

  • www.a] parsed as www.a]
  • Bypass elhacker's img filter with ALT attribute!
  • ¿Para cuándo SQLi I y II? WZ



miguelskk

Yo tambien estoy interesado en lo mismo pero en mi caso es moodle y para encontrar algun bug da demasiado trabajo.
Tengo acceso a la sala de informatica donde el admin abre su cuenta y habia pensado en algun sniffer o si no un simple keylogger el problema es qe tiene instalado deep freeze y el norton ghost aunqe esos son los problemas menores.
Intente utilizar un keylogger qe meti en usb pero se me bloqueaba el ordenador no se si tendra relaccion con qe los 30 ordenadores estan conectados en red.
Alguna idea? XD
Ellos levantan muros y vallas por todas partes, nosotros respondemos escribiendo nuestros nombres, ellos se cabrean y dicen que eso no es arte.