Logo-top
Top-menu-right Top-menu-left    INICIO
Top-menu-right Top-menu-left    CARÁTULAS
Top-menu-right Top-menu-left    ARTISTAS
Top-menu-right Top-menu-left    FOTOS
Top-menu-right Top-menu-left    LÍRICAS
Top-menu-right Top-menu-left    RADIO
Speakers-top
Logo-middleLogo-textLogo-button-chatRegistrateSpeakers-middle
Speakers-bottom
Sonando en la Radio
Navigation
Retroceder   Foros > Otros Temas > Programación de Computadoras
Actualizar esta página [Tutorial] Defacer para PHP-nuke
Registrarse Ayuda Buscar Temas de Hoy Marcar Foros Como Leídos
Respuesta
 
LinkBack Herramientas

  #1 (permalink)
Antiguo 27-sep-2006, 16:34
El Tiburón
 
Avatar de AGE_vs_shory
 
Visto Hace: 19 días 16 horas
Fecha de Ingreso: junio-2005
Ubicación: Colombia
Mensajes: 1.441
Gracias: 0
Enviar un mensaje por Skype™ a AGE_vs_shory
Predeterminado [Tutorial] Defacer para PHP-nuke
Introduccion:

En este método aprovechamos las vulnerabilidades del producto PHP-Nuke que, por desgracia,
son muchas y salen con bastante frecuencia.

Para este manual no hace falta tener conocimientos de ningun tipo sólo saber lo que se
esta haciendo y poco mas .

Método:

1º Buscamos alguna web que use php-nuke y que nos podamos registrar en ella (módulo Your_Count activo)
2º Nos vamos a cualquier web de seguridad (securityfocus.com, cyruxnet.org, ...) y buscamos
alguna vulnerabilidad en el PHP-Nuke, normalmente de SQL Injection, que explote algun
fallo para que nos muestre los hashes de los admin de la web víctima.
3º Una vez probamos los fallos contra la web victima y encontrado algun hash de algun admin
pasamos a codificarlos a BASE64. Para eso nos vamos a la siguiente web:
http://base64-encoder-online.waraxe....64-encoder.php

3.1 - Si vamos a hacer este método modificando una cookie del internet explorer en el cuadro de la web de codificador pondremos "nickadmin:hashadmin:" (sin las comillas) siendo nickadmin el nick de quien hemos sacado el hash y hashadmin su hash
3.2- Si vamos a hacer este método modificando una cookie del Mozilla en el cuadro de la web de codificador pondremos "nickadmin:hashadmin" (sin las comillas)
siendo nickadmin el nick de quien hemos sacado el hash y hashadmin su hash

Aclaracion Paso 3Localizacion de las cookies)

Explorer:
Win9x/Me -> C:\windows\cookies
Win2k/Xp -> C:\Documents and Settings\usuario\cookies

Mozilla:
Win9x/Me -> archivo cookies.txt
Win2K/Xp -> C:\Documents and Settings\usuario\Datos de programa\Mozilla
Linux -> locate cookies.txt

4º Vamos a la web victima y nos registramos en la misma.

------Recopilación--------

Una vez seguido estos 4 pasos tenemos:
- nickadmin:hashadmin codificados en base64
- una cuenta en la web victima
- su cookie correspondiente.

--------------------------

5º Antes de nada vamos a ver que forma tienen nuestra cookies segun el navegador usado:
-> Internet Explorer:

lang
spanish
www.ejemplo.com
0
3932635008
29709902
1298043808
29636477
*
user
YWRtaW46MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0Zj Y
www.ejemplo.com
0
3258712448
29642512
2770543808
29636477
*


-> Mozilla:

www.ejemplo.com FALSE / FALSE 1092773634 user YWRtaW46MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0Zj Y


Observamos varias cosas:
a) Aparece la palabra "user"
b) Aparece la siguiente cadena "YWRtaW46MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0Z jY" (no siempre es la misma, depende del nick y pass utilizados en el registro de la web)
Esta cadena es nuestro nick:hash convertido a base64

6º Modificación de la cookie

Primero cambiamos la palabra "user" por la palabra "admin"
Segundo cambiamos la cadena, en este ejemplo, "YWRtaW46MDk4ZjZiY2Q0NjIxZDM3M2NhZGU0ZTgzMjYyN2I0Z jY"
por la que hemos obtenido en la de nickadmin:hashadmin.

7º Guardamos los cambios hechos en la cookie
8º Entramos en la web. En estos momentos entraremos como el admin de la web al quien le hayamos
cogido el hash y nick

Aclaración:
Cuando en la cookie cambiamos "user" por "admin" en realidad estamos cambiando el valor de la
cookie de donde estamos identificados, identificandonos como admin en vez de como usuario normal y observaremos el cambio
si accedemos a www.ejemplo.com/admin.php

Conclusión:

En este texto observamos la facilidad de "hackear" una pagina web hecha con PHP-Nuke y sin
ningun conocimiento. Este texto es PURAMENTE didáctico y no pretende que con la lectura
del mismo se utilice para "hackear" nada.

Agradecimientos a MurdeR^^ y a CrowDat del canal #cyruxnet por su ayuda.
__________________
Prefiero reinar en el infierno q servir en el cielo

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.


 ¿GOOG O EVIL?

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.
AGE_vs_shory no está en línea   Responder Citando
  #2 (permalink)
Antiguo 27-sep-2006, 17:53
Sicario
 
Avatar de ¤¤Maldita¤Sicaria¤¤
 
Visto Hace: 6 meses 7 días
Fecha de Ingreso: febrero-2006
Ubicación: United States
Mensajes: 13.559
Gracias: 0
Predeterminado
:bebe: gracias...
¤¤Maldita¤Sicaria¤¤ no está en línea   Responder Citando
  #3 (permalink)
Antiguo 27-sep-2006, 19:47
Killer
 
Avatar de xxhiramxx
 
Visto Hace: 2 meses 25 días
Fecha de Ingreso: febrero-2005
Ubicación: Mexico
Mensajes: 4.112
Gracias: 0
Predeterminado
wow.. estos tipos de manuales van saliendo mas dia con dia XD

muchissimas gracias encontre cosas q no sabia :P
__________________

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.
xxhiramxx no está en línea   Responder Citando
  #4 (permalink)
Antiguo 27-sep-2006, 20:04
El Tiburón
 
Avatar de AGE_vs_shory
 
Visto Hace: 19 días 16 horas
Fecha de Ingreso: junio-2005
Ubicación: Colombia
Mensajes: 1.441
Gracias: 0
Enviar un mensaje por Skype™ a AGE_vs_shory
Predeterminado
jajaja hay les dejo para que descriptar contraseñas md5 XD o bcode64
__________________
Prefiero reinar en el infierno q servir en el cielo

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.


 ¿GOOG O EVIL?

To view links or images in signatures your post count must be 10 or greater. You currently have 0 signatures.
AGE_vs_shory no está en línea   Responder Citando
Respuesta

« Tema Anterior | Próximo Tema »
Herramientas

Normas de Publicación
No puedes crear nuevos temas
No puedes responder temas
No puedes subir archivos adjuntos
No puedes editar tus mensajes
Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks are Activado
Pingbacks are Activado
Refbacks are Activado


La franja horaria es GMT -3. Ahora son las 14:53.
Desarrollado por: vBulletin® Versión 3.7.4
Derechos de Autor ©2000 - 2008, Jelsoft Enterprises Ltd.
Template-Modifications by TMS
 
Inicio | Historial del Foro | Contacto | Politica de Privacidad | Términos y condiciones | Contratar Publicidad
1,770 Días Online 		 
Propiedad de High Level Webs | Creación de Daniel Santiago Meléndez
© MundoReggaeton.com 2004-2008. Todos los derechos reservados.