Mensajes

[rectifico]

Ok entonces rectifico...

Mi htaccess esta asi:

Código [Seleccionar] Expandir

RewriteEngine on
# RewriteRule ^(.+)$ index.php
RewriteRule ^hoja/(.+)\-(.+)\.html$ ?hoja=$1
RewriteRule ^(.+)/$ ?ver=$1

Y he generado las URLs completas, donde:

Para Imágenes y Estilos quedo: http://sitio.com/url/cosa.jpg (o cosa.css).
Para los includes PHP debe persistir el enlace interno así: carpeta/archivo.php

Ahora mi sitio se ve bien, el style, las imagenes y se cargan los inclued, EL PROBLEMA es que intento acceder a a una noticia y no se puede

Vaya, digamos tengo esta noticia que accede bien con URL NO-amigable que es:

http://misitio.com/?hoja=IDNOTICIA

Y directamente en el navegador escriba la URL Amigable que es:

http://misitio.com/hoja/IDNOTICIA-titulo_de_la_noticia.html

Y dice: Not Found

[.htaccess]

bueno, yo tambien tuve un problema parecido una ves es devido a que el sistema cree que esta en otra carpeta diferente a la que es, eso se acomoda podiendo la direccion completa de los archivos.

Mmmmm no creo que las cosas vayan por hay, por que las direcciones de las imagenes no se han tocado, ademas, simplemente quito el .htaccess y todo vuelve a la normalidad.

Eso se debe a esta linea:

Código [Seleccionar] Expandir

RewriteRule ^(.+)$ index.php

aplicando el siguiente source:

Código (php) [Seleccionar] Expandir

<?php
echo $_GET['a'];
?>
<IMG src="http://4.bp.blogspot.com/_rQMq1b0XzMQ/SruwfnMEOkI/AAAAAAAAIs4/RolWe9IreT4/s400/pikachu.gif" width="299" height="294" align="left" border="0">

Te recomiendo hacer las reglas mas estrictas y exactas.

Entonces quito la linea de RewriteRule ^(.+)$ index.php, pero despues que mas ?... digo, porque no entiendo lo del code que me pones, veo que es una URL a una imagen GIF, pero que con eso ?, estas mostrandome que la URL es mas estricta (larga y compleja) o que ?...

Saludos !

--- EDITADO ---

Ya he quitado la linea que me mencionaste y el sitio ya se visualiza bien !...

Pero aun no se desplega el contenido , vaya, sera porque estoy en mi localhost ?...

Mira, he quitado la linea que dijiste, guarde el .htaccess y tengo una URL comun asi:

http://localhost/diabliyo/onefloor/?hoja=yq4vopsgvz

Ahora, escribo directamente en el navegador lo siguiente: http://localhost/diabliyo/onefloor/hoja/yq4vopsgvz-bla_bla_bla.html

Y no sale el contenido, marca error (Not Found)... se supone que deberia concidir la siguiente linea en el .htaccess e interpretar:

Código [Seleccionar] Expandir

RewriteRule ^hoja/(.+)\-(.+)\.html$ ?hoja=$1

Seria: hoja/ID-tituloo.html
Y lo pasa ha: ?hoja=ID

Saludos !

[costo]

jajajaja, no tengo que demostarte nada a tí ni a nadie, y repito, pretendes que te hagan una auditoría por 50 dólares!?!?!? jajaja, ahí es donde demuestras que no tienes NI IDEEEEEEEEEA del tema, si de verdad conocieses algo sabrías lo que se paga por esto, así que como te digo, no voy a perder más el tiempo con tu web, ya que mañana tengo que ir a TRABAJAR y me PAGAN por hacer lo que tu quieres gratis...

p.d.: "si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path", jajaja, si, será cierto, que tu usas un LFI para descubrir el path... en fin serafín.

Bueno esto es un ciclo interminable, y sobre el costo claro que se cuanto se cobra, pero si fuese el caso, no hubiera puesto el post y otra historia seria.

Hay para la otra, saludos !....



SnakingMax ya estas apuntado en la lista....

Saludos !

[mas no el sitio Turundus]

jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo

Cual CMS ?, solo tengo un CMS y es con el que esta basado el Blog, mas no el sitio Turundus.... Además quien dijo que el CMS que esta en la web lo tengo actualizado ? es un código que esta desde el 2009 a poco no piensas que el codigo que bajaste esta des-actualizado ?... Si te estas basando en los fallos del CMS que esta en la web (descargable) entonces pierdes tu tiempo en vano, se ha mejorado bastante.

Me imagino que como ya no pudiste seguir con el reto ahora comentas para evadir el echo que ya no pudiste !... Lastima, este es un reto para demostrar y no parta dimes y diretes.

Y sobre FPD yo he mencionado el concepto correcto y forma correcta, que claro, si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path. Y claro que se como funciona un LFI/RFI, hasta podría darte clases amigo... En fin, gracias por participar, terminaste muy rápido.... Otros van mas avanzados !



Vamos haciendo esto amigo kamsky, si en realidad eres un Auditor voy a proponerte algo...

Si vulneras Turundus.net, armas una bitácora y me presentas tus credenciales de Auditor Profesional te doy 50 USD. De lo contrario solo participas por el premio que esta posteado.

Entiéndase por credenciales de Auditor algún documento valido, legal y respaldado por una institución competente que eres Auditor.

Saludos !....

[.htaccess]

Esto implemente:

.htaccess

Código [Seleccionar] Expandir

Options FollowSymLinks
RewriteEngine on
RewriteRule ^(.+)$ index.php
RewriteRule ^hoja/(.+)\-(.+)\.html$ ?hoja=$1
RewriteRule ^(.+)/$ ?ver=$1

Ojo con la linea 3, 4 y 5, haber si me ayudan a verificar si estoy en lo correcto...

La LINEA 3 quiero que interprete el: index.php
La LINEA 4 quiero que interprete: sitio.com/hoja/numeronoticia-titulo_de_la_noti_cia.html como ?hoja=numeronoticia
La LINEA 5 quiero que interprete: sitio.com/categoriaseccion/ como ?ver=numerocategoriaseccion

Para la Linea 4 es mas que obvio que tendre que hacer un explode, ya que el simbolo - delimitara a la izquierda el numero de la noticia y a la derecha el titulo, del cual solo tomare el de la izquierda.


Funcionaria ?



Por otra parte, tengo broncar para que se imprima bien el sitio , aqui tengo otro hilo para no mezclarlo con este:

http://foro.elhacker.net/php/modrewrite_urls_amigables_problema_para_que_el_sitio_se_vea_bien-t318170.0.html

[visualizavion del sitio]

Buen dia.

Quiero implementar las URLs amigables, pero tengo problemas para que funcione bien la visualizavion del sitio, vaya, mi blog actualmente se visualiza bien en todos los aspectos (el style, las imagenes, etc..), y las URLs ya las hice amigables.

Como invocaba mis URLs
Antes hacia esto:

http://miblog.com/?hoja=numerodenoticia  <--- asi accedes a una noticia
http://miblog.com?ver=numerodecategoria <--- asi entraba a una sección del menu principal (o cualquier otro)

Asi que, implemente esto:

Código [Seleccionar] Expandir

# Options FollowSymLinks
RewriteEngine on
RewriteRule ^(.+)$ index.php
RewriteRule ^hoja/(.+)\-(.+)\.html$ ?hoja=$1
RewriteRule ^(.+)/$ ?ver=$1


El problema es que no he podido probado las urls amigables porque una vez guardo el codigo que les puse arriba como .htaccess, mi localhost se muestra como si el style.css hubiera desaparecido y las URLs a las imagenes que muestro (mis iconos del template) tampoco aparecen

Alguna idea ?

[participar]

Bueno.

Si es un FPD lo importante es que sea explotable y si este FPD permite a usuarios mlaintencionados acceder a informacion sensible, entonces los invito a explotar el bug, documentar el dato y participar.



jpmo4 los PHP no se tocan el sitio ya esta semi-publico, vaya, hicimos este posting para comprobar la seguridad antes de hacerlo 100% publico y levantar toda la campa~a para dar a conocer el sitio.

saludos !

[is_admin()]

Entonces ya somos dos auditores que nos entendemos.

Y pues respecto a mi opinión, no veo que sea un FPD ya que un FPD se consigue mediante load_file() en SQL inyection y mediante inclusión de archivo, cuando el programador hacer algo así:

Código (php) [Seleccionar] Expandir

if( $_GET["var"] )
  include($_GET["var"]. '.php');

Y ese error que veo es solo un problema al llamar la funcion is_admin() ya que no la encuentra definida, y esto porque se accedió al archivo PHP en directo, vaya, se perdieron los otros include(); esenciales para que las funciones se reconozcan.

jpmo4 con gusto esperamos que accedas como root, para eso es este proyecto y se hizo publico el post.



Por favor si piensan seguir invirtiendo tiempo, minimo digan si entraran a participar.

Saludos !

[no explotan un bug]

Fatal error: Call to undefined function is_admin() in /home/content/d/i/a/diabliyo/html/turundus/template/catalogio/cuerpo/menu.php on line 16

Hermano no puedes poner cualquier error de este tipo que encuentras, ya que en primera no explotan un bug solamente causa error debido a que invocaste directo el PHP llamado http://turundus.net/template/catalogio/cuerpo/menu.php y por eso el error.

Pero vaya, ese error no te da acceso root ni como un usuario del sistema, solo estas imprimiendo el menu que todo mundo puede ver solo que de una forma "mas fea".

OJO: no porque diga error quiere decir que ya encontraste un fallo, UN FALLO es algo que da acceso a informacion sensible, ya sea datos personales, acceso a una cuenta o a archivos de los usuarios.

Sigue intentando !...

P.D: no te ofendas, pero por favor trata de no ensuciar mucho el hilo, que tus posts no están ayudando a avanzar mucho y no me gustaría se hiciera GIGANTESCO el hilo con errores que no tienen caso.

Saludos !

Y porque mejor no le das la clave del root?