Tres en uno: Vulnerabilidad, Felicidad y Descontento
Noviembre 29, 2008
Hoy tengo que publicar tres cosas, dos de ellas las había querido publicar hace un tiempo y la última surgió hoy.
La primera de ellas es un nuevo aporte que nos hace PerverthsO, un pequeño video donde nos muestra como aprovecharse de un componente de joomla para obtener acceso a las bases de datos de una organización. La vulnerabilidad es más conocida como "Arbitrary download file" o descarga arbitraria de archivos, y se trata principalmente de poder descargar cualquier archivo que queramos. Pues bueno, de esto se encarga este componente, y el error es que no escapan el retroceso de directorios "../../../" y se puede descargar cualquiera archivo.
La URL que se nos muestra en este video es:
El video puede ser descargado de acá:Tutorial de vulnerabilidad en componente Joomla
También me complace en anunciar la inauguración de un nuevo subdominio, llamado Trucosflash. El objetivo de esta página es proveer a aquellos jugadores que adoran los juegos en flash, claves, guías y archivos que servirán para jugar más fácilmente, también se les conoce con el nombre de "trucos", "claves", "cheats", pero si el programador los puso allí, es por algo!. Por el momento solo van dos juegos, así que espero que la comunidad de trucosflash crezca día a día. Todavía falta agregarle unas cosas a la página para que quede completamente terminada, pero nada que en una hora no se pueda añadir.
La página para entrar es: http://trucosflash.sinfocol.org
Y por último, comunicar mi descontento con la página www.seguridadinformatica.org, un sitio con una buena introducción, pero con un contenido de retos mas bien pobre. Los retos que recuerdo son respectivamente:
Autenticación con JavaScript
El problema típico con las variables globales en PHP
Falsificación de cabeceras del navegador
Inclusión local de archivos con PHP
Criptografía clásica
Falsificación de IP por medio de cabeceras del navegador
De nuevo falsificación de IP por medio de tales cabeceras
El séptimo reto fue la gota que colmó la copa, primero porque el reto era repetido, y segundo porque se trata de hacer fuerza bruta a una variable muchas veces. No sé que piensan las demás personas que han llegado hasta "la final", pero es una pérdida de tiempo hacer fuerza bruta a un reto como estos. Además de los motivos antes mencionados, es poco ético que el organizador del reto se encuentre en el top 10, y de primero...
Sé que esto está mal hecho, pero no hay nada mas preciado que el tiempo. Espero mas de esta página y de paso los invito a que participen de ella (Una forma de contrarestar lo antes dicho)
http://www.seguridadinformatica.org
Archivado en: Hacking, Miscelaneo |
bueno a mi me agrada este sitio, si tuviera manuales de basicos en descarga... jaja se aprenderia el cuadruple pero eso ta de mas decirlo.... jeje
Buenas blackubay!, te he visto varias veces en el sitio de wargames.
Bueno, últimamente ando un poco despistado con el sitio, pero ya iré subiendo todo tipo de cosas, tanto básica como medianas. No digo avanzadas porque quizá para unos sea una tonteria.
Saludos
prefiero http://www.bright-shadows.net
Bno yo kiero saer una pista para acer el 1° nivel de seguridad informatica la verdad sq yo recien me registre oy dia y toy buskando en la fuente de pagina la respuesta ya que parece q c encuentra ay pero la verda e echo tantos intentos q ya m perdi y kisiera una pista d ayuda... gracias
Hola, si quieres muchos más retos, y que tienen que ver con temas similares, te recomiendo el wargame de Sinfocol: http://wow.sinfocol.org/
hola alguna pista para pasar la prueba 4 del nivel 3 del reto seguridadinformatica.org
ya que me es imposible insertar el caracter nulo
Aunque en el reto no lo mencionen, debes escalar varios directorios.
alguna pista nivel 5 por favor
Hola llevo unos dias practicando con este wargame es el primero que hago en toda mi vida. bueno les comento voy por la prueba 6 y estoy atascado. Se que es con la cabecera x-forwarded-for pero no se como mandarlo para poder probar con todas las ips desde la: 10.0.0.0-10.0.255.255.
gracias