Title: [Dicas] Deface em um site php..
Post by: kmrafa on 11 de July , 2006, 04:05:44 PM
Post by: kmrafa on 11 de July , 2006, 04:05:44 PM
Fala ae pessoal que manja de defaces ???...axei estranho..pq n sei como é feita a atualização dele... tentei já passa uns scanners talz...mais o site é meio novo nao acredito que tenha alguma vulnerabilidade antiga...
agora nao sei como proceder...pq nao é nenhum sistema pronto (tipo mambo)... e SEing acho muito dificil....até pq estou achando que é a empresa que desenvolveu o site que faz a atualização dele.. eu acho.. até pq n tem noticias diarias..são quase mensais neh hehe...
Sò gostaria de saber...TEM JEITO? ou nao...se nao tiver paro por aqui msm rsrs..
valeu..
abraços
agora nao sei como proceder...pq nao é nenhum sistema pronto (tipo mambo)... e SEing acho muito dificil....até pq estou achando que é a empresa que desenvolveu o site que faz a atualização dele.. eu acho.. até pq n tem noticias diarias..são quase mensais neh hehe...
Sò gostaria de saber...TEM JEITO? ou nao...se nao tiver paro por aqui msm rsrs..
valeu..
abraços
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 04:18:32 PM
Post by: slul on 11 de July , 2006, 04:18:32 PM
tente passar oscanner acutenix...
ele faz listagem de arquivos e talvez você consiga achar algo interessante...
fora isso a inúmeras falhas que ocorrem e vao sempre ocorrer...
principalmente os meus GRANDES amigos ERROS DE PROGRAMAÇÃO
Basta você saber procurá-los =)
exemplos de erros de programação:
RFI :
include("$_GET['page']");
?>
SQL - Injection :
include("conexao.php"); // imaginemos um arquivo de conexão
$n = $_GET['n']; //transforma a variavel n enviada pelo navegador pelo método GET em $n
mysql_query('SELECT * FROM usuarios WHERE id=$n'); // nao faz nenhum tipo de tratamento na variavel n, sendo assim podemos incluir a SQL-TAG UNION que permite fazer consultas mútuas sendo assim faremos nossa consulta particular ;)
?>
Abraços essas sao algumas falhas...
tem muitas outras como XSS e outras
inteh
ele faz listagem de arquivos e talvez você consiga achar algo interessante...
fora isso a inúmeras falhas que ocorrem e vao sempre ocorrer...
principalmente os meus GRANDES amigos ERROS DE PROGRAMAÇÃO
Basta você saber procurá-los =)
exemplos de erros de programação:
RFI :
include("$_GET['page']");
?>
SQL - Injection :
include("conexao.php"); // imaginemos um arquivo de conexão
$n = $_GET['n']; //transforma a variavel n enviada pelo navegador pelo método GET em $n
mysql_query('SELECT * FROM usuarios WHERE id=$n'); // nao faz nenhum tipo de tratamento na variavel n, sendo assim podemos incluir a SQL-TAG UNION que permite fazer consultas mútuas sendo assim faremos nossa consulta particular ;)
?>
Abraços essas sao algumas falhas...
tem muitas outras como XSS e outras
inteh
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 04:36:22 PM
Post by: slul on 11 de July , 2006, 04:36:22 PM
oh acabei de achar um "bug"
bem legalzinho até hehehe
o kra escreve uma variavel no site diretamente sem tratamento
daí olha o q eu fiz
http://www.erasto.com.br/galeria.php?pa ... cked(small (http://www.erasto.com.br/galeria.php?pagina=%3Cimg%20src=http://www.miscellaneousetc.com/bluemage/hacked(small)).JPG%3E
bem legalzinho até hehehe
o kra escreve uma variavel no site diretamente sem tratamento
daí olha o q eu fiz
http://www.erasto.com.br/galeria.php?pa ... cked(small (http://www.erasto.com.br/galeria.php?pagina=%3Cimg%20src=http://www.miscellaneousetc.com/bluemage/hacked(small)).JPG%3E
Title: Re: [Dicas] Deface em um site php..
Post by: #phobia on 11 de July , 2006, 04:41:47 PM
Post by: #phobia on 11 de July , 2006, 04:41:47 PM
lol
Tem a manha mesmo heim slul!!! huahauahau
Tinha que ter colocado essa imagem la na inical do site ou da galeria de fotos! kkkkkkkkk
Flw mano.
t+++
Tem a manha mesmo heim slul!!! huahauahau
Tinha que ter colocado essa imagem la na inical do site ou da galeria de fotos! kkkkkkkkk
Flw mano.
t+++
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 04:49:14 PM
Post by: slul on 11 de July , 2006, 04:49:14 PM
http://www.erasto.com.br/galeria.php?pagina=2&eve_id=8 (http://www.erasto.com.br/galeria.php?pagina=2&eve_id=8)%AKI%20VAI%20A%20SUA%20SQL%20INJECTION
Outro bug...
SQL - INJECTION
só que tem um problema por ser um codigo fechado e nao ser proveniente de nenhum CMS nós não temos informações que seriam de certa forma necessárias sobre o banco de dados pra fazer consultas do tipo UNION...
Abraços
Outro bug...
SQL - INJECTION
só que tem um problema por ser um codigo fechado e nao ser proveniente de nenhum CMS nós não temos informações que seriam de certa forma necessárias sobre o banco de dados pra fazer consultas do tipo UNION...
Abraços
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 04:53:32 PM
Post by: slul on 11 de July , 2006, 04:53:32 PM
Nossa peço desculpas aos admins mas achei outro bug e vou postá-lo aki =(
Nossa se tivesse o edit...
ia ajudar muito!
http://www.erasto.com.br/galeria.php?pa ... ent.cookie (http://www.erasto.com.br/galeria.php?pagina=%3Cscript%3Ealert(document.cookie));%3C/script%3E
ohh isso mostra o document.cookie
isso eh chamado de XSS
Nossa se tivesse o edit...
ia ajudar muito!
http://www.erasto.com.br/galeria.php?pa ... ent.cookie (http://www.erasto.com.br/galeria.php?pagina=%3Cscript%3Ealert(document.cookie));%3C/script%3E
ohh isso mostra o document.cookie
isso eh chamado de XSS
Title: Re: [Dicas] Deface em um site php..
Post by: kmrafa on 11 de July , 2006, 05:35:05 PM
Post by: kmrafa on 11 de July , 2006, 05:35:05 PM
uhahhuahuahu
Tesão Slul..valeu mesmo...curti a img escrito em alemão...
kara odeio eles... se bota fé que em 2002 quando a Deustchland perdeu pro Brasil os alemaozinho lá ficaram tudo triste? são um bando de nazista isso sim... n tinha 1 negro no colégio... pela fama que eles tem se acharem...sorte que sai desse reduto nazista....
Kara, valew mesmo...quando chegar em casa vou dar uma olhada melhor nisso... apesar q n manjo mto de php=\
Tesão Slul..valeu mesmo...curti a img escrito em alemão...
kara odeio eles... se bota fé que em 2002 quando a Deustchland perdeu pro Brasil os alemaozinho lá ficaram tudo triste? são um bando de nazista isso sim... n tinha 1 negro no colégio... pela fama que eles tem se acharem...sorte que sai desse reduto nazista....
Kara, valew mesmo...quando chegar em casa vou dar uma olhada melhor nisso... apesar q n manjo mto de php=\
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 05:41:01 PM
Post by: slul on 11 de July , 2006, 05:41:01 PM
isso era alemão??
pensei que era apenas um inglês mal-falado :P
pensei que era apenas um inglês mal-falado :P
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:24:47 PM
Post by: Anonymous on 11 de July , 2006, 06:24:47 PM
nussa vo dar uma oiada nesse troço quando eu voltar
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:27:14 PM
Post by: Anonymous on 11 de July , 2006, 06:27:14 PM
Primeiro:
http://www.erasto.com.br/calendario.php?mes=%22%3E (http://www.erasto.com.br/calendario.php?mes=%22%3E)
no chamo nem de bug...
mas podi causar um buffer overflow na makina dah pessoa
http://www.erasto.com.br/calendario.php?mes=%22%3E (http://www.erasto.com.br/calendario.php?mes=%22%3E)
no chamo nem de bug...
mas podi causar um buffer overflow na makina dah pessoa
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 06:29:41 PM
Post by: slul on 11 de July , 2006, 06:29:41 PM
legal darkfire...
eu soh procurei em uma pagina por isso soh achei esse 3 bugzinhos...
gostei dessa do calendário..
Esse pessoal precisa aprender a programar com segurança!
Eu nunca consegui hackear algo q eu fiz hehehe...
eu soh procurei em uma pagina
por isso soh achei esse 3 bugzinhos...gostei dessa do calendário..
Esse pessoal precisa aprender a programar com segurança!
Eu nunca consegui hackear algo q eu fiz hehehe...
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:31:47 PM
Post by: Anonymous on 11 de July , 2006, 06:31:47 PM
Resultado de um Erro:
Warning: pg_query() [function.pg-query]: Query failed: ERROR: invalid byte sequence for encoding "UNICODE": 0xe12065 . in /home/httpd/vhosts/erasto.com.br/httpdocs/objetos/class_postgres.php on line 51
esse objetos deve ser ah pasta conhecida como includes
Warning: pg_query() [function.pg-query]: Query failed: ERROR: invalid byte sequence for encoding "UNICODE": 0xe12065 . in /home/httpd/vhosts/erasto.com.br/httpdocs/objetos/class_postgres.php on line 51
esse objetos deve ser ah pasta conhecida como includes
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:32:37 PM
Post by: Anonymous on 11 de July , 2006, 06:32:37 PM
muito interessante oiá:
http://www.erasto.com.br/mural_form.php ... 3Ealert('' (http://www.erasto.com.br/mural_form.php?nome=darkfire&mensagem=%3Cscript%3Ealert(''))%3C/script%3E&cadastra=true&imageField.x=31&imageField.y=4
se vc for editando da uns erros maneiros
http://www.erasto.com.br/mural_form.php ... 3Ealert('' (http://www.erasto.com.br/mural_form.php?nome=darkfire&mensagem=%3Cscript%3Ealert(''))%3C/script%3E&cadastra=true&imageField.x=31&imageField.y=4
se vc for editando da uns erros maneiros
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:33:55 PM
Post by: Anonymous on 11 de July , 2006, 06:33:55 PM
esse apache é vulneravel com akele xpl de Dos eu axo
Title: Re: [Dicas] Deface em um site php..
Post by: slul on 11 de July , 2006, 06:35:11 PM
Post by: slul on 11 de July , 2006, 06:35:11 PM
isso se chama sql injection
mas vc nao botou um codigo sql dentro então da erro!
Durd!
hehhee
Ele insere a variavel mensagem dentro de uma =consulta ao portsgree sql e como vc enfiou um java script dentro do q era pra ser sql vc causou um erro no portsgree
VoC nao sabe inglês e php darkfire?
inteh
mas vc nao botou um codigo sql dentro então da erro!
Durd!
hehhee
Ele insere a variavel mensagem dentro de uma =consulta ao portsgree sql e como vc enfiou um java script dentro do q era pra ser sql vc causou um erro no portsgree
VoC nao sabe inglês e php darkfire?
inteh
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 06:36:37 PM
Post by: Anonymous on 11 de July , 2006, 06:36:37 PM
inglês eu sei mal, mas nem li uh troço soh colei uh texto
ih php eu sei, qase nada soh us baguiuzinhus de inclusão...
ih php eu sei, qase nada soh us baguiuzinhus de inclusão...
Title: Re: [Dicas] Deface em um site php..
Post by: kmrafa on 11 de July , 2006, 06:52:57 PM
Post by: kmrafa on 11 de July , 2006, 06:52:57 PM
esse do mural eu tava vendo tb...
será que nao tem um jeito de zua só o mural?
pq o mural, vc manda uma msg, dizendo que ama o erasto...senao eles n aceitam a msg..de pudesse um jeito de colocar um recado ali sem passar por essa "triagem" seria legal
será que nao tem um jeito de zua só o mural?
pq o mural, vc manda uma msg, dizendo que ama o erasto...senao eles n aceitam a msg..de pudesse um jeito de colocar um recado ali sem passar por essa "triagem" seria legal
Title: Re: [Dicas] Deface em um site php..
Post by: Anonymous on 11 de July , 2006, 07:10:03 PM
Post by: Anonymous on 11 de July , 2006, 07:10:03 PM
eh depois eu vou bizoiah esse troço pois estou ocupado