Title: Google + PHPInjection
Post by: d3rf on 09 de July , 2007, 09:49:38 AM
Post by: d3rf on 09 de July , 2007, 09:49:38 AM
Bem dei uma pesquisada no site e nao vi oq vou postar, porém caso exista peço q me desculpem ...
Todos vcs conhecem aqueles comandos do Google "Index of /admin" e etc... pesquisando um pouco mais descobri q grande partes dos servidores não a corrigiram isso e o q é pior, a maioria dos programadores nao sabem.
Partindo disse resolvi buscar todos os arquivos .inc(arquivo default de senha criado pelo DreamWeaver) com a expressao "mysql_connect" e voilá ... senhas de muitos banco de dados... testem !
Só digitar "mysql_connect filetype:inc" no google !
http://www.google.com.br/search?hl=pt-B ... isar&meta= (http://www.google.com.br/search?hl=pt-BR&as_qdr=all&q=mysql_connect++filetype%3Ainc&btnG=Pesquisar&meta=)
Todos vcs conhecem aqueles comandos do Google "Index of /admin" e etc... pesquisando um pouco mais descobri q grande partes dos servidores não a corrigiram isso e o q é pior, a maioria dos programadores nao sabem.
Partindo disse resolvi buscar todos os arquivos .inc(arquivo default de senha criado pelo DreamWeaver) com a expressao "mysql_connect" e voilá ... senhas de muitos banco de dados... testem !
Só digitar "mysql_connect filetype:inc" no google !
http://www.google.com.br/search?hl=pt-B ... isar&meta= (http://www.google.com.br/search?hl=pt-BR&as_qdr=all&q=mysql_connect++filetype%3Ainc&btnG=Pesquisar&meta=)
Title: Re: Google + PHPInjection
Post by: Wuefez on 11 de July , 2007, 09:05:49 PM
Post by: Wuefez on 11 de July , 2007, 09:05:49 PM
Hummmm
Eu gostaria de levantar duas coisas aqui:
1 A maioria dos servidores de SQL so permitem conexoes vindas de hosts autorizados, a menos que o admin tenha posto um wildcard (assim o server aceita conexoes de qualquer IP, mas ninguem faz isso), ou seja na maioria das vezes ter a senha do usuario do sql e nada é a mesma coisa.
2 O que descobrir a senha do usuario do SQL tem haver com php injection?
Mas hummmmmmmmmmmmm mais um d0rk de google hacking pra gente
Eu gostaria de levantar duas coisas aqui:
1 A maioria dos servidores de SQL so permitem conexoes vindas de hosts autorizados, a menos que o admin tenha posto um wildcard (assim o server aceita conexoes de qualquer IP, mas ninguem faz isso), ou seja na maioria das vezes ter a senha do usuario do sql e nada é a mesma coisa.
2 O que descobrir a senha do usuario do SQL tem haver com php injection?
Mas hummmmmmmmmmmmm mais um d0rk de google hacking pra gente
Title: Re: Google + PHPInjection
Post by: d3rf on 12 de July , 2007, 11:42:30 AM
Post by: d3rf on 12 de July , 2007, 11:42:30 AM
É tem razao o titulo ta errado tinha q ser Google + Burrices com Dreamweaver, já q esse arquivo inc é padrao do DreamWeaver ...
Outra coisa, talvez via webservices com SOAP, de para acessar, talvez ... vou tentar ...
Outra coisa, talvez via webservices com SOAP, de para acessar, talvez ... vou tentar ...
Title: Re: Google + PHPInjection
Post by: Anonymous on 12 de July , 2007, 11:46:22 AM
Post by: Anonymous on 12 de July , 2007, 11:46:22 AM
Muito Bom, apesar do problema citado pelo Wuefez, que sabe vc não pode estar no seu dia de sorte
Huahsha.
Huahsha.
Title: Re: Google + PHPInjection
Post by: HadeS on 20 de July , 2007, 06:45:54 PM
Post by: HadeS on 20 de July , 2007, 06:45:54 PM
Nunca dei uma olhada nesses arquivos .inc não, mas as senhas ficam em texto puro?!? oO
HadeS
HadeS
Title: Re: Google + PHPInjection
Post by: d3rf on 21 de July , 2007, 03:21:07 PM
Post by: d3rf on 21 de July , 2007, 03:21:07 PM
Ficam em textos puros sem nenhuma criptografia
Title: Google + PHPInjection
Post by: Trojan on 21 de July , 2007, 07:51:49 PM
Post by: Trojan on 21 de July , 2007, 07:51:49 PM
Muito bom mesmo d3rf !
Title: Re: Google + PHPInjection
Post by: Zero cool on 21 de July , 2007, 08:05:23 PM
Post by: Zero cool on 21 de July , 2007, 08:05:23 PM
google dork forever 
Mais isso não tem nada haver com php-injection
Mais isso não tem nada haver com php-injection
Title: Re: Google + PHPInjection
Post by: thorking on 22 de July , 2007, 06:52:14 PM
Post by: thorking on 22 de July , 2007, 06:52:14 PM
muito bom cara parabens!