Solicitamos su permiso para obtener datos estadísticos de su navegación en esta web, en cumplimiento del Real Decreto-ley 13/2012. Si continúa navegando consideramos que acepta el uso de cookies.

Aceptar Más información
WINTXCODERS Terminal
[[email protected] ~]:$ Bienvenido a la comunidad
Recuerda que puedes participar en nuestra comunidad registrándote

Autor Tema:  Vulnerabilidad Habboweb  (Leído 323 veces)

0 Usuarios y 1 Visitante están viendo este tema.

@η∂яєѕмσяєησ

  • Experto
  • Desconectado
  • *
  • 252
    539
    0
    • Ver Perfil
Vulnerabilidad Habboweb
« en: Marzo 02, 2015, 05:23:48 pm »
Saludos, hoy vengo a comentar una vulnerabilidad en algunas cms públicas, "Habboweb", esta es una carpeta en la que se alojan las imágenes de la cms (actualmente estas cms no poseen tal vulnerabilidad), el exploit se provoca tecleando una ruta específica que consigue acceder al directorio, e incluso es una vulnerabilidad tan grande que te deja editar todas las cosas del servidor en el que esté alojado, si lo tienes alojado en tu pc puedes ir despidiéndote porque te lo podrá borrar todo, la ruta en la que se accede es
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
, si lo que se quiere es quitar la vulnerabilidad hay que quitar el archivo index.php de la carpeta 841. En este foro no creo que alguien tenga holo pero para los visitantes que vengan por el foro y les gusten los holos que lo tengan en cuenta.

WIитX

  • Administrador
  • Desconectado
  • *
  • 1370
    7478
    72
  • Texto personal
    I'm not a hacker I'm security professional.
    • Ver Perfil
    • WINTXCODERS.COM
Re:Vulnerabilidad Habboweb
« Respuesta #1 en: Marzo 02, 2015, 05:28:35 pm »
Creo que simplemente con un htaccess le deniegas que navegue por los directorios y listo  :P

Entrar a la web
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
"Es más divertido hacerse pirata que unirse a la marina." (Steve Jobs)
Dudas / Sugerencias: [email protected]

#i[J]0SEE

  • Maestro
  • Desconectado
  • *
  • 370
    649
    1
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #2 en: Marzo 02, 2015, 06:16:38 pm »
Que exploit? xDDDD
Es una shell, que la puso Daniel Dias en la sexycms y ya se fue propagando en las cms que se basaron.


Modifico: Aunque sea una shell es considerado un exploit remoto.
En IIS si le quitas los permisos al usuario invitado tampoco funciona la shell.

Antes de ser baneado en KM le denuncie xD:
Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
« Última modificación: Marzo 02, 2015, 06:27:25 pm por #i[J]0SEE »

PAYASAKX

  • Moderador Global
  • Desconectado
  • *
  • 451
    259
    11
  • Texto personal
    KNOWLEDGE is FREE.
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #3 en: Marzo 02, 2015, 08:06:31 pm »
Esa vulnerabilidad la aprovechaba yo hace 1 o 2 años, creo que fuí uno de los primeros usuarios en usarla y extenderla, casi nadie la conocía y yo fui pasándosela a un monton de gente.. Esto es algo muy típico de lo que se han aprovechado cientos de "hackers" para defacear un holo..

También se podia subir shell, y desde ahí conseguias acceso al Desktop del administrador del holo (Yo pillé fotos de un dueño de un holo).. Pero creo que ahora estan volviendo poco a poco la típica vulnerabilidad de setup/step2.php JAJA.

¡Saludos!



@η∂яєѕмσяєησ

  • Experto
  • Desconectado
  • *
  • 252
    539
    0
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #4 en: Marzo 02, 2015, 09:19:00 pm »
La vulnerabilidad setup/step2.php es mas vieja "que mear" jaja, eso se usaba en las instalaciones automáticas pero ahora todo se configura manualmente para evitar este tipo de problemas.

PAYASAKX

  • Moderador Global
  • Desconectado
  • *
  • 451
    259
    11
  • Texto personal
    KNOWLEDGE is FREE.
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #5 en: Marzo 02, 2015, 09:56:32 pm »

Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
La vulnerabilidad setup/step2.php es mas vieja "que mear" jaja, eso se usaba en las instalaciones automáticas pero ahora todo se configura manualmente para evitar este tipo de problemas.
Yo vi el otro dia un hotel donde tenia eso :/ y un amigo dice que vió otro por ahi



@η∂яєѕмσяєησ

  • Experto
  • Desconectado
  • *
  • 252
    539
    0
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #6 en: Marzo 02, 2015, 10:54:19 pm »
Serian los típicos hoteles napas montadas en su propia pc.

#i[J]0SEE

  • Maestro
  • Desconectado
  • *
  • 370
    649
    1
    • Ver Perfil
Re:Vulnerabilidad Habboweb
« Respuesta #7 en: Marzo 02, 2015, 11:12:29 pm »

Para poder ver los links necesitas estar [• Registrado •]
[• Iniciar Sesión •]
Serian los típicos hoteles napas montadas en su propia pc.
Vamos a respetarles, que ha diferencia de otros hoteles en grandes infraestructuras, no se ponen a DDoS other.

 

Powered by Advanced Topic Prefix Pro