-
puramente educativo
primero deciros hola a todos y presentarme, hace tiempo que os leo aunque la mayoria de cosas no las acabo de entender del todo, soy muy novata como podeis ver con ganas de aprender y por eso estoy haciendo un modulo de grado superior de administracion de sistemas informaticos pues sola aprendia muy despacio.
Una vez presentada deciros que me han mandado un trabajo titulado hackers, crackers y programas nocivos. Este ya lo tengo hecho me ocupo unas 100 paginas y he aprendido mucho el problema radica en que tengo que hacer una exposicion de una hora sobre el trabajo y el profesor nos ha dicho que seria bueno explicar mediante algo practico.
pero no tengo ni idea :s asi que me puse a leer y he escaneado el servidor del colegio pues pensé en intentar entrar en la web del colegio y explicar como lo hice....
he encontrado varias vulnerabilidades y algunos exploits http://downloads.securityfocus.com/vulnerabilities/exploits/27259.html
si no recuerdo mal este es para moodle pero supongo que para usarlo primero tengo que poder entrar en el servidor ???
una de las vulnerabilidades es phpMyquote SQL injection and cross-site scripting vulnerabilities pero no se que hacer con ella he leido sobre XSS pero nada no se SQL, soy cazurra
despues encontre algo que me intereso las cookies pero claro el administrador del colegio no es tonto se daria cuenta segun me han dicho asi que descartado este camino tambien
se que el servidor es el apache asi que estoy buscando vulnerabilidades sobre el, que seguramente no sabre usar tampoco...:(
un conocido que sabe más que yo me ha dicho que busque vulnerabilidades de los browsers y he encontrado alguna que tampoco se utilizar http://www.securityfocus.com/bid/10514/discuss es del 2003 lo se pero a raiz de esta podia seguir lo que se requiere la colaboracion del usuario asi que dudo mucho que el administrador me ayude :P
se un poquillo de c y compilo sin problemas los exploits pero no se donde enviarlos (primero tengo que conocer la contraseña del admin y entrar en servidor?)y tampoco quiero borrar la pagina solo quiero saber entrar y añadir una frase tipo prueva trabajo de la asignatura X
a otra cosa que hice fue copiar el archivo de contraseñas con una distro de linux desde el colegio y me la he mandado a mi email tengo media contraseña la que esta con Md5 pero la otra media diria que esta con nthash nu se si esto es correcto pero es otro camino cortado que tengo ....
en fin posteo para que me digais por lo menos que he hecho bien y si estoy en lo correcto cuando digo que para modificar la pagina principal de la web tengo que entrar primero en el servidor si me podeis dar un pokillo más de luz os lo agradezco desde ya que sueño con contraseñas a descifrar y cosas muy raras xDD ya no puedo ni dormir jeje
saludos y gracias por los buenos ratos que paso leiendos
P.D.perdón por el tocho y seguro que me dejo cosas pues llevo ya varios dias con ello y no recuerdo todo
-
Fa.. yo ni me animo a escanear el servidor de mi facultad..
En fin.. esto se lo has comentado a tus profesores ? porque es muy jodido lo que estás haciendo.
Hasta te podrian expulsar de tu facu, por qué ? porque a nadie le gusta admitir errores, y la palabra hacker/cracker le suena feo a mucha gente, en especial en ambitos academicos.
Tampoco tiene nada de hacker explotar bugs conocidos.
Yo que vos, descarto lo de tu facultad, EN Serio, al menos que se lo comentes a tu profe y te diga.. sí dale ( cosa que dudo )
Montate un Apache en tu maquina, no lo actualices ni nada.
Y metele.. yo que sé.. un phpbb viejo, o metele algo parecido a la web del liceo, e intenta entrarle. Es mucho mejor. y menos peligroso.
otra cosas.. tenes el /etc/shadow ? :S john the ripper :)
-
tengo el etc sep y john me dijoo tropecientos mil años xD
jodido nu se quiza si pero que no me diga que le haga yo de profe de algo que me parece tan jodido, y encima que me dice que con algo practico ta chalao, nu se, yo se lo he comentado a mis padres y me han dicho adelante que ellos responden. Ademas no me estoy escondiendo para nada voy de transparente por la vida para decirles no estoy haciendo nada malo si me dices que te demuestre con algo practico en clase la explicacion lo que no voy a hacer es entrar en paginas que no se de quien son no? y esconderme pa entrar en estas tampoco asi que uso la tuya la del profe
pero tendre en cuenta tu respuesta de hecho ya lo habia pensado el entrar a una pagina mia pero tiene más emoción lo otro
saludos y gracias
-
El problema no va en emociones, va en la legalidad y los problemas que te puede generar.
Hace lo que quieras, pero también pensa que puede dejar manchado tu registro.
SaluDoS
-
supongo que tienes razón .... de hecho se que tienes razón pero tambien se que estoy aprendiendo mucho a raiz de esto y que llevo mucho tiempo invertido noches sin dormir y que soy algo tozuda, se tambien que soy capaz de que mi profesor me entienda a la perfeccion y que no va a entrar en denuncias y por encima de todo se que un cuchillo se puede usar para cortar carne y tambien para apuñalar a alguien yo quiero cortar carne ;) de todas formas me has hecho pensar mucho sobre el tema y como no estoy preparada no conseguiré entrar asi que seguire intentandolo hasta el dia de la exposición despues ...lo dejare aparcado y algun dia cuando sepa más entrare tendre la satisfaccion de haber entrado y aqui quedara todo
saludos y gracias por el consejo
-
No te voy a negar que se aprende mucho, realmente.. pero el problema no es cuanto se aprende, sino, el objetivo.
Haz lo que quieras, pero Conste que yo sin concerte, te lo estoy advirtiendo, te puede ir muy mal.
Saludos
-
esta bien Cypress, me has convencido la verdad, enga intentaré montarme el apache en mi maquina a ver que tal me va, pero si me atasco con phpbb donde seria el mejor lugar para postear ? me ayudarias entonces? por lo menos asi quedaria bien la exposicion no?
gracias y saludos
-
Sí claro, instalate lo que quieras.
http://milw0rm.com/search.php
Hace al revez, buscate primero el exploit, el que te guste más, lo elegis, y luego te instalas el foro/aplicacion, lo que sea.
Saludos y suerte. :)
p.s hay una inyeccion asp muy chota, no es lo mismo, pero llena el ojo:
http://www.warezlatino.com/index.php?topic=41.0 :$ :$ :$ :$ es la web de un amigo y me dijo que si podia que aporte algo.. lo siento :p
-
a ver ya instale apache mañana lo configuro bien y sobre el exploit.... me recomiendas alguno majo pa explicar en clase?? esque la verdad nunca he usado ninguno acabo de empezar con este trabajo y si me puedo lucir y aprender aun más pues mejor ;)
lo que explicas en la pagina de tu amigo solo lo usare si no consigo algo mejor jeje
saludos y gracias de nuevo
enga a dormir ya que llevo unos dias...
-
Cualquier inyección de código (HTML, SQL......) es bastante asequible de explicar.
-
gracias estoy en ello pff ya tengo el apache bien espero no necesitar más vuestra ayuda xD
saludos
-
bueno muchas gracias!!!!! ya tengo la nota de la exposicion al final consegui aclararme con la inyeccion SQL ... lo mio me costó xDD pero saque un 10. Por si a algun estudiante le ayuda hable con el profesor dos semanas antes y le conte lo que habia estado haciendo con la web del cole, le dije que claro ahora (gracias a vosotros) sabia que no podia exponerlo en clase y que no sabia que hacer con la información y trabajo que hice y me dijo que se la entregara solo a él que se lo miraria y me contaria para la nota y que expusiera lo de SQL asi que al final todo me salio bien ;)
un saludo
agradecida Renegada
-
Me alegro mucho Renegada !! :) que bien !! me alegro pila que te haya ido bien.
Mucha Suerte !! :)
Saludos,
Cypress