Se solicitan Pen-Testers para proyecto de software !

Iniciado por Diabliyo, 27 Enero 2011, 22:42 PM

0 Miembros y 1 Visitante están viendo este tema.

T0rete

#10
No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.

Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa

jpmo4

Cita de: T0rete en 29 Enero 2011, 20:24 PM
No te ofendas tu pero te esta mostrando un Full path disclosure. Lo que no va a hacer es mostrar en público una vulnerabilidad grave.

Le estas intentando dar lecciones a un auditor profesional :xD me parto de risa

concuerdo totalmente, es un auditor pro, y te mostrara algo para que vayas viendo, acceso root intentare obtenerlo hoy esta noche,ahorita estoy dsd el cel.
Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas

   

Diabliyo

#12
Entonces ya somos dos auditores que nos entendemos.

Y pues respecto a mi opinión, no veo que sea un FPD ya que un FPD se consigue mediante load_file() en SQL inyection y mediante inclusión de archivo, cuando el programador hacer algo así:

Código (php) [Seleccionar]
if( $_GET["var"] )
  include($_GET["var"]. '.php');


Y ese error que veo es solo un problema al llamar la funcion is_admin() ya que no la encuentra definida, y esto porque se accedió al archivo PHP en directo, vaya, se perdieron los otros include(); esenciales para que las funciones se reconozcan.


jpmo4 con gusto esperamos que accedas como root, para eso es este proyecto y se hizo publico el post.




Por favor si piensan seguir invirtiendo tiempo, minimo digan si entraran a participar.

Saludos !

jpmo4

caray como quisiera estar frente a mi pc ahorita, tbn soy Auditor. Corroborare ambos testeos si es que no modificaste el php claro. Salu2
Podras llevarme a mi novia, incluso hasta a mi perro, pero a mi computadora... jamas

   

T0rete

Si ves el path completo de los scripts hasta el home es un FPD de libro y si, puede mostrarse sin SQL query.

Diabliyo

Bueno.

Si es un FPD lo importante es que sea explotable y si este FPD permite a usuarios mlaintencionados acceder a informacion sensible, entonces los invito a explotar el bug, documentar el dato y participar.




jpmo4 los PHP no se tocan el sitio ya esta semi-publico, vaya, hicimos este posting para comprobar la seguridad antes de hacerlo 100% publico y levantar toda la campa~a para dar a conocer el sitio.

saludos !

Garfield07

Yo me apunto, veremos como va esto... Luego modifico con lo que vaya viendo...


* Quiero cambiar el mundo, pero estoy seguro de que no me darían el código fuente.
* No estoy tratando de destruir a Microsoft. Ese será tan solo un efecto colateral no intencionado.
* Si compila esta bien, si arranca es perfecto.

¡Wiki elhacker.net!
Un saludo

kamsky

jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo
----NO HAY ARMA MÁS MORTÍFERA QUE UNA PALABRA BROTADA DE UN CORAZÓN NOBLE, Y UN PAR DE HUEVOS QUE LA RESPALDEN---

                       hack 4 free!!

Diabliyo

#18
Cita de: kamsky en 30 Enero 2011, 15:13 PM
jajaja, me parto, tu eres auditor y confundes un path disclosure con LFI o RFI... en fín, no tengo mucho tiempo y como comprenderás no voy a dedicarlo a auditarte tu Web gratuitamente, simplemente trasteé 5 minutos en tu CMS y aunque muy "bonito" hablando de seguridad es un coladero... y esta Web pues más de lo mismo

Cual CMS ?, solo tengo un CMS y es con el que esta basado el Blog, mas no el sitio Turundus.... Además quien dijo que el CMS que esta en la web lo tengo actualizado ? es un código que esta desde el 2009 a poco no piensas que el codigo que bajaste esta des-actualizado ?... Si te estas basando en los fallos del CMS que esta en la web (descargable) entonces pierdes tu tiempo en vano, se ha mejorado bastante.

Me imagino que como ya no pudiste seguir con el reto ahora comentas para evadir el echo que ya no pudiste !... Lastima, este es un reto para demostrar y no parta dimes y diretes.

Y sobre FPD yo he mencionado el concepto correcto y forma correcta, que claro, si no sabes mediante un LFI se puede hacer FPD, ya que en si, el objetivo es el Descubrimiento del Path. Y claro que se como funciona un LFI/RFI, hasta podría darte clases amigo... En fin, gracias por participar, terminaste muy rápido.... Otros van mas avanzados !




Vamos haciendo esto amigo kamsky, si en realidad eres un Auditor voy a proponerte algo...

Si vulneras Turundus.net, armas una bitácora y me presentas tus credenciales de Auditor Profesional te doy 50 USD. De lo contrario solo participas por el premio que esta posteado.

Entiéndase por credenciales de Auditor algún documento valido, legal y respaldado por una institución competente que eres Auditor.

Saludos !....

SnakingMax