Tema: Vulnerando-Web-Ataque-Force-Download Mar Nov 08, 2011 3:32 am
Esta vez vengo a hablar sobre deface bueno como la mayor parte de las personas sabe el deface se considera como el arte de encontrar una vulnerabilidad y explotarla y asi poder subir tu index etc etc....
bueno en este tuto mostrare algunas cosas que yo hago al momento de encontrar una web
les dejare un video y lo dejare por escrito
primero que todo aclarare algunos temas
SQL:
vulnerabilidad en la base de datos consiste en la inyeccion de comandos mysql para poder conseguir la contrase;a y el user.
XSS:
vulnerabilidad que permite hacer deface redirigiendo la pagina hacia otro lado sacando un letrero robar cookies hacer phising u otras cosas mas
LFI:
permite navegar por la web sin restricciones y poder ver las claves que estan para este tipo de vulnerabilidad es necesario mirar si es servidor UNIX o WINDOWS
FORCE-DOWNLOAD:
permite descargar cuaquier archivo ya que obliga al servidor a descargar el archivo que se le indique puede ser muy peligrosa
HTTP VULNERABLE:
por medio de este podemos ver la version del servidor analizar las cabezeras, miras si tiene activo el PUT (permite sobreescribir cualquier archivo en el servidor web), DELETE(permite borrar cualquier archivo en el servidor web).
BYPASS:
permite enga;ar al servidor ya sea el panel de logeo del admin o al momento de subir un archivo.
FPD:
No es un error tan peligroso pero otorga mucha informacion al atakante ya que muestra la ruta exacta del servidor mostrando si es UNIX o WINDOWS
SCD:
podemos ver el codigo fuente el servidor sin necesidad de descargarnos nada, es como la de FORCE-DOWNLOAD pero la diferencia es que si rebisas el codigo fuente miraras el codigo php escrito
VIDEO QUE MUESTRA ALGUNAS DE ESTAS ACCIONES:
allinurl: para Explotar Vulnerabilidad Force-Download allinurl: "download1.php?file=