Contenido principal

Tres en uno: Vulnerabilidad, Felicidad y Descontento

Noviembre 29, 2008

Hoy tengo que publicar tres cosas, dos de ellas las había querido publicar hace un tiempo y la última surgió hoy.

La primera de ellas es un nuevo aporte que nos hace PerverthsO, un pequeño video donde nos muestra como aprovecharse de un componente de joomla para obtener acceso a las bases de datos de una organización. La vulnerabilidad es más conocida como "Arbitrary download file" o descarga arbitraria de archivos, y se trata principalmente de poder descargar cualquier archivo que queramos. Pues bueno, de esto se encarga este componente, y el error es que no escapan el retroceso de directorios "../../../" y se puede descargar cualquiera archivo.
La URL que se nos muestra en este video es:

option=com_documentos&task=download&file=../configuration.php

El video puede ser descargado de acá:Tutorial de vulnerabilidad en componente Joomla

También me complace en anunciar la inauguración de un nuevo subdominio, llamado Trucosflash. El objetivo de esta página es proveer a aquellos jugadores que adoran los juegos en flash, claves, guías y archivos que servirán para jugar más fácilmente, también se les conoce con el nombre de "trucos", "claves", "cheats", pero si el programador los puso allí, es por algo!. Por el momento solo van dos juegos, así que espero que la comunidad de trucosflash crezca día a día. Todavía falta agregarle unas cosas a la página para que quede completamente terminada, pero nada que en una hora no se pueda añadir.
La página para entrar es: http://trucosflash.sinfocol.org

Y por último, comunicar mi descontento con la página www.seguridadinformatica.org, un sitio con una buena introducción, pero con un contenido de retos mas bien pobre. Los retos que recuerdo son respectivamente:
:arrow: Autenticación con JavaScript
:arrow: El problema típico con las variables globales en PHP
:arrow: Falsificación de cabeceras del navegador
:arrow: Inclusión local de archivos con PHP
:arrow: Criptografía clásica
:arrow: Falsificación de IP por medio de cabeceras del navegador
:arrow: De nuevo falsificación de IP por medio de tales cabeceras
El séptimo reto fue la gota que colmó la copa, primero porque el reto era repetido, y segundo porque se trata de hacer fuerza bruta a una variable muchas veces. No sé que piensan las demás personas que han llegado hasta "la final", pero es una pérdida de tiempo hacer fuerza bruta a un reto como estos. Además de los motivos antes mencionados, es poco ético que el organizador del reto se encuentre en el top 10, y de primero...
Sé que esto está mal hecho, pero no hay nada mas preciado que el tiempo. Espero mas de esta página y de paso los invito a que participen de ella (Una forma de contrarestar lo antes dicho)
http://www.seguridadinformatica.org

Archivado en: Hacking, Miscelaneo |

9 comentarios

  1. BLACKUBAY Diciembre 8, 2008 @ 3:24 pm

    bueno a mi me agrada este sitio, si tuviera manuales de basicos en descarga... jaja se aprenderia el cuadruple pero eso ta de mas decirlo.... jeje

  2. Sysroot Diciembre 9, 2008 @ 1:10 am

    Buenas blackubay!, te he visto varias veces en el sitio de wargames.
    Bueno, últimamente ando un poco despistado con el sitio, pero ya iré subiendo todo tipo de cosas, tanto básica como medianas. No digo avanzadas porque quizá para unos sea una tonteria.
    Saludos

  3. reuter Julio 25, 2009 @ 10:15 pm

    prefiero http://www.bright-shadows.net

  4. Cahua Abril 25, 2010 @ 11:48 pm

    Bno yo kiero saer una pista para acer el 1° nivel de seguridad informatica la verdad sq yo recien me registre oy dia y toy buskando en la fuente de pagina la respuesta ya que parece q c encuentra ay pero la verda e echo tantos intentos q ya m perdi y kisiera una pista d ayuda... gracias

  5. Sysroot Abril 26, 2010 @ 6:24 pm

    Hola, si quieres muchos más retos, y que tienen que ver con temas similares, te recomiendo el wargame de Sinfocol: http://wow.sinfocol.org/

  6. eliel Junio 2, 2010 @ 11:40 pm

    hola alguna pista para pasar la prueba 4 del nivel 3 del reto seguridadinformatica.org
    ya que me es imposible insertar el caracter nulo

  7. Sysroot Junio 10, 2010 @ 9:03 pm

    Aunque en el reto no lo mencionen, debes escalar varios directorios.

  8. hulk Octubre 22, 2010 @ 5:01 pm

    alguna pista nivel 5 por favor

  9. fenixhim Noviembre 1, 2011 @ 8:34 pm

    Hola llevo unos dias practicando con este wargame es el primero que hago en toda mi vida. bueno les comento voy por la prueba 6 y estoy atascado. Se que es con la cabecera x-forwarded-for pero no se como mandarlo para poder probar con todas las ips desde la: 10.0.0.0-10.0.255.255.
    gracias

Deja un comentario