BurpSuite es una herramienta muy completa, en este manual no nos
dedicaremos a ver la auditoria web, ya que Kelvin Parra, acaba de hacer
un manual sobre Web Hacking Pentest, que también lo pueden adquirir
individualmente, o por medio del pack de manuales que tenemos. Bueno
como les decía una vez auditando la pagina web de dicha universidad con
la herramienta BurpSuite, encontré un fallo muy grande el cual no
necesitaba ni siquiera la pass y user, de la plataforma, ya que
directamente me arrojo el enlace, para cambiar las notas y demás datos
de los alumnos de dicha universidad, el fallo aun no lo he reportado,
pero se los dejare, para que vean lo que puedan hacer.
Target: http://www.unica.edu.pe/
Url Vulnerables:
Nota: Se podria vulnerar con SQLINJECTION.
Relación de Alumnos:
Modificar Alumnos:
---------------------------------------------------
Aquí puede editar lo que quieran:
Eliminar Alumnos.
Agregar Alumnos:
En este caso pueden agregarse ustedes mismos con datos falsos o reales, ya que no se darán cuenta, ya que es como si el mismo administrador los agregara como alumnos, pueden ponerse el ciclo que sea, la carrera que sea.
Registro de Alumnos:
Como pueden apreciar es como si todos nosotros fuéramos administradores de la pagina teniendo acceso total a datos privilegiados, por otra parte se podrían sacar mas datos como en la imagen que mostrare a continuación.
DUMPEO DE BASES DE DATOS
---------------------------------------------------
---------------------------------------------------
---------------------------------------------------
Es un pequeño ejemplo de como se pudo Dumpear la base de datos con la url que se obtuve después de un testeo o auditoria web.
Url Vulnerables:
Con SQLMAP, y otras herramientas de explotación podrían hacerlo ustedes mismos...
SI QUIERES MAS INFORMACIÓN COMO ESTA, PUEDES OBTENER MI MANUAL DÍAS DE HACKING...
Greetz: Hiro Maxwell | Javier Franco
Atte: Jey Zeta
No hay comentarios:
Publicar un comentario