h4ck3d comic-ar

Hola de nuevo esta ves solo enseñandoles un bonito deface del sitio web comic-ar,dar clic, como muchas veces este admin no respondio a msj chala chala por esa razon aqui les dejo el deface.

Y recuerden es mejor prevenir que lamentar asi que estudienle o vayan con un asesor de seguridad informatica.

Fijense bien en la url y espero y con esta advertencia el admin solucione el problema en caso de que no, posteare un tutorial de como defacearlo.




A petición de algunos escépticos volvi a defacearla y tambien por que lo unico que hizo el admin fue colocar de nuevo el index por que no entenderan por las buenas, aqui les dejo la imagen, ha y por ultimo no esperen que la pagina este defaceada durante mucho tiempo por ello la razon de las imagenes.

sex web cam XSS

Este resumen no está disponible. Haz clic en este enlace para ver la entrada.

Joomla Directory Transversal

joomla directory transversal

Esta vulnerabilidad esta confirmada en la version 1.5.8 pero otras vesiones tambien podrian ser vulnerables, esto sucede por la entrada de la cabecera http "X_CMS_LIBRARY_PATH" manipulando "plugins/editors/xstandard/attachmentlibrary.php" y no verifica adecuadamente antes de ser utilizado. Esto puede ser explotado para mostrar contenido de un directorio arbitrario a través de ataques transversales de directorio o bien dicho de otra forma podemos ver archivos y directorios del servidor en donde esta alojado este sitio web.
Lo primero que se tiene que hacer es escanear un sitio web realizado en joomla, esto lo podemos hacer con el joomscan la cual la pueden descargar de esta direccion:
http://sourceforge.net/projects/joomscan/, una ves descargada nos dirigimos a esta carpeta con una consola ya sea en windows o en linux asta llegar en la carpeta donde se encuentra el joomscan.pl (se necesita tener instalado perl).

Para utilizar esta herramienta como muchas otras puden obtener la ayuda colocando joomscan.pl -h

Para realizar el escaneo se hace de la siguiente forma "joomscan.pl -pv -u victima.com" y empezara a escanear el website.
Para saber si es vulnerable a esta tecnica debe de aparecer el siguiente mensaje:

En donde nos esta diciendo que si es vulnerable, nos dice la ruta de la pagina php vulnerable y nos dice asta la forma de explotar esta vulnerabilidad.
Bueno para explotar esta vulnerabilidad se requiere de otra herramienta llamada modify headers es un complemento de firefox lo pueden descargar facilmente esta herramienta sirve para agregar, modificar o filtrar cabeceras http, entonces nos dirigimos en el navegador a la ruta que dice en "check:" y en realidad nos aparecera el contenido de un xml:

Despues abrimos modify headers y lo que se va hacer
es agregar una cabecera llamada "X_CMS_LIBRARY_PATH" con el valor "../" y nos va ir mostrando los directorios y archivos almacenados en el servidor:
http://www.imagechicken.com/uploads/1260602653052523600.jpg
si quieren seguir subiendo pueden ir agregando en el valor "../../" y de esta forma se puede ir navegando en el server, tambien se podria ver el archivo "../../../etc/passwd" el numero de "../" depende de la estructura del server y si se encuentra passwd XD.

Como puden ver esta tecnica es algo laboriosa y se necesita tener conocimientos de como utilizar exploits o herramientas por medio de la consola y conocimientos de cabeceras http, pero pues no deja de ser otra opcion de kakear xD servidores web.
En este caso se realizo con el sitio web www.urbeconomica.com y pueden practicar con ese.
Asta la proxima.
Cualquier duda, sugerencia, reclamo o comentario favor escribirlo.

by Cr4fT1g4C

WEB SITE COLEGIO PATERSON H4CK3D

Esta ves les muestro una sitio web hackeado dicho sitio web es de méxico, realmente estoy en contra de el deface o modificar los sitios web pero hay ocaciones en los que los administradores de red son tan estupidos que aunque les avices no hacen nada, ya que eso me toco a mi.
La semana pasada le hice sql injection al sitio web de chimalhuacan en cuanto vi que era vulnerable me puse en contacto con el web master le mande como 5 msj diciendole que estaba mal su sitio y trate de explicarle pero no me entendio todavia asta le hice un manual de como correjirlo y nada y la verdad lo note un poco esceptico en cuanto a esto asta la fecha sigue vulnerable su sitio.
Entonces por más que haya personas buenas que quieran ayudar con personas como este tipo es inutil.
Asi que si son web master alguno de ustedes no les vendria mal documentarse un poco sobre la seguridad.
Saludos.