WINTXCODERS

Programación => Retroservers => Mensaje iniciado por: @η∂яєѕмσяєησ en Marzo 02, 2015, 05:23:48 PM

Título: Vulnerabilidad Habboweb
Publicado por: @η∂яєѕмσяєησ en Marzo 02, 2015, 05:23:48 PM
Saludos, hoy vengo a comentar una vulnerabilidad en algunas cms públicas, "Habboweb", esta es una carpeta en la que se alojan las imágenes de la cms (actualmente estas cms no poseen tal vulnerabilidad), el exploit se provoca tecleando una ruta específica que consigue acceder al directorio, e incluso es una vulnerabilidad tan grande que te deja editar todas las cosas del servidor en el que esté alojado, si lo tienes alojado en tu pc puedes ir despidiéndote porque te lo podrá borrar todo, la ruta en la que se accede es http://linkdelhotel.com/habboweb/63_1dc60c6d6ea6e089c6893ab4e0541ee0/841/index.php, si lo que se quiere es quitar la vulnerabilidad hay que quitar el archivo index.php de la carpeta 841. En este foro no creo que alguien tenga holo pero para los visitantes que vengan por el foro y les gusten los holos que lo tengan en cuenta.
Título: Re:Vulnerabilidad Habboweb
Publicado por: WIитX en Marzo 02, 2015, 05:28:35 PM
Creo que simplemente con un htaccess le deniegas que navegue por los directorios y listo  :P

Título: Re:Vulnerabilidad Habboweb
Publicado por: #i[J]0SEE en Marzo 02, 2015, 06:16:38 PM
Que exploit? xDDDD
Es una shell, que la puso Daniel Dias en la sexycms y ya se fue propagando en las cms que se basaron.


Modifico: Aunque sea una shell es considerado un exploit remoto.
En IIS si le quitas los permisos al usuario invitado tampoco funciona la shell.

Antes de ser baneado en KM le denuncie xD: http://kekomundo.com/foro/index.php?topic=342005.10
Título: Re:Vulnerabilidad Habboweb
Publicado por: PAYASAKX en Marzo 02, 2015, 08:06:31 PM
Esa vulnerabilidad la aprovechaba yo hace 1 o 2 años, creo que fuí uno de los primeros usuarios en usarla y extenderla, casi nadie la conocía y yo fui pasándosela a un monton de gente.. Esto es algo muy típico de lo que se han aprovechado cientos de "hackers" para defacear un holo..

También se podia subir shell, y desde ahí conseguias acceso al Desktop del administrador del holo (Yo pillé fotos de un dueño de un holo).. Pero creo que ahora estan volviendo poco a poco la típica vulnerabilidad de setup/step2.php JAJA.

¡Saludos!
Título: Re:Vulnerabilidad Habboweb
Publicado por: @η∂яєѕмσяєησ en Marzo 02, 2015, 09:19:00 PM
La vulnerabilidad setup/step2.php es mas vieja "que mear" jaja, eso se usaba en las instalaciones automáticas pero ahora todo se configura manualmente para evitar este tipo de problemas.
Título: Re:Vulnerabilidad Habboweb
Publicado por: PAYASAKX en Marzo 02, 2015, 09:56:32 PM
You are not allowed to view links. Register or Login
La vulnerabilidad setup/step2.php es mas vieja "que mear" jaja, eso se usaba en las instalaciones automáticas pero ahora todo se configura manualmente para evitar este tipo de problemas.
Yo vi el otro dia un hotel donde tenia eso :/ y un amigo dice que vió otro por ahi
Título: Re:Vulnerabilidad Habboweb
Publicado por: @η∂яєѕмσяєησ en Marzo 02, 2015, 10:54:19 PM
Serian los típicos hoteles napas montadas en su propia pc.
Título: Re:Vulnerabilidad Habboweb
Publicado por: #i[J]0SEE en Marzo 02, 2015, 11:12:29 PM
You are not allowed to view links. Register or Login
Serian los típicos hoteles napas montadas en su propia pc.
Vamos a respetarles, que ha diferencia de otros hoteles en grandes infraestructuras, no se ponen a DDoS other.