Mensajes

Hola. Encontré un fallo de seguridad en una web que permite descargar los archivos del servidor (passwd, group, etc.).

La cuestión es que quería reportárselo al programador, pero primero quería saber si este tipo de fallos podrían acarrearme problemas legales, puesto que sería la primera vez que reporto algo así.
Un amigo me dijo que, aunque tuviese todos los datos que hay en el servidor, si es con tal de probar un error, no podría denunciarme.

¿Qué opináis al respecto?

Gracias de antemano.

Prueba con los parámetros que se envían con POST. Imagina que la URL de la pág. que contiene el SWF es así:

Código [Seleccionar] Expandir

http://pagina.com/registro.php?usuario=NUEVO&pass=NUEVO

Puedes utilizar el Tamper Data para comprobar los datos que se envían, y luego sustituirlos como quieras.

Un saludo

Con tarjetas Wifi seguramente falle. Lo probé en una virtual, haciendo puente, y me mostraba todas las sesiones de la real.
En mi instituto necesito hacer un MITM para que funcione, sino no pilla na de na.

Llama al procedimiento sin el GoSub, y después de eso, añade el End Sub que te falta.

Código (vb) [Seleccionar] Expandir

Public Sub CommandButton1_Click()
    Definicion
End Sub

[@EvilGoblin]

Bueno, conseguí resolverlo, usando únicamente curl (no hizo falta el index.php ni nada semejante).

Código [Seleccionar] Expandir

curl -s -d "login=1&redir=1&username=USUARIO&password=CLAVE" --url "http://megaupload.com/?c=login"

-s para que no muestre el progreso de descarga, -d para editar el POST a enviar y --url para la página de login de Megaupload.

Se podría hacer a mayores para que indique si se loguea correctamente o la contraseña es inválida.

En un script bash:

Código (bash) [Seleccionar] Expandir


curl -o $HOME/megaupload -s -d "login=1&redir=1&username=USUARIO&password=CLAVE" --url "http://megaupload.com/?c=login"
error=`cat $HOME/megaupload | grep "Username and"`
if [ -z "$error" ]; then
    echo "Funciona"
else
    echo "No funciona"
fi


@EvilGoblin
Gracias por la idea del POST, así fue como lo conseguí

Un saludo.

Hola. Estaba probando cosas con Curl, y se me dio por intentar loguearme en Megaupload, pero las opciones que probé no funcionan.
Quería por lo menos, que al enviar los datos, si eran falsos pudiese saberlo buscando la línea de texto que muestra, pero no fui capaz :/

¿Alguien tiene una idea de cómo podría hacerse?

Un saludo.

Hola. Estaba interesado en sustituir el sistema IsoLinux de mi LiveCD por el GRUB como el que trae Backtrack. No sé si con copiar los mismos archivos y modificar las líneas adecuadas servirá.

¿Alguien sabe algo?

Gracias de antemano.

Hola. No sé si el título es muy aclaratorio, pero me recuerda al mismo parámetro en los accesos directos de Windows.

La cuestión es que tengo un ejecutable creado en Mono, que al abrirse crea unos archivos de configuración en la carpeta desde donde se ejecuta.
La duda es: quiero hacer un lanzador en el menú de Gnome, pero si lo abro desde ahí, los archivos me los guarda en mi carpeta personal, y quería cambiar eso.

Utilizo el siguiente comando:

Código [Seleccionar] Expandir

mono /usr/local/bin/Prueba.exe

Uso Ubuntu 10.04

Gracias de antemano.

Describe cual es el error que te da, por ejemplo, en Wifislax.

En la misma pantalla de arranque de Wifislax, está la opción "noacpi=off", aunque sin saber el error no sé si funcionará.

http://www.wifislax.com/manuales/cheatcode.php

Ah, vale...

No es que haya otro separador, el problema era que por no leer atentamente no me di cuenta que con poner únicamente -h ya servía para añadir los : y yo intentaba ponerlo a mano...

Funciona perfectamente, hice pruebas con otro par de redes de 64 y las coge bien. Tengo una de 128, mañana le echo un vistazo.

Un saludo