10-11-2010, 02:16
Hola!
Necesito acceder a un servidor Web para bajarme unas canciones, antes tenian una clave "demo" para que accediera cualquiera, pero la han desactivado.
Estoy investigando sobre cómo acceder sin tener cuenta de usuario pero no sé por donde empezar... solo se que es un Windows Server por lo que parece (IIS, ASP.NET... como quieras llamarlo) y tambien tengo la IP sacada mediante ping al host
a ver si me puede ayudar alguien, lo agredecería mucho!!! Saludos.
A ver, si tiene windows server lo mas probable esque encuentres alguns vulnerabilidad. Pasale un escaner de vulnerabilidades, a ver que pilla. Puedes usar el shadow security scanner, que encuentra bugs, y te dice si hay exploits disponibles. Es de pago, pero hay versiones crack. Te recomiendo que uses una version actualizada, con los ultimos fallos de los sstemas.
¿Y eso por qué?Iniciado por hckr
Digo en la mayoría, si no está parcheado claro... los servidores suelen ser vulnerables porque los proveedores no actualizan las versiones de apache/mysql...etc... yo veo más seguro un servidor con linux que con windows server...
¿Y eso por qué?
Porque los que usan microsoft son tontos xd (es coña).¿Y eso por qué?
No tiene porque, en internet la mayor parte de los servidores son maquinas corriendo alguna distribucion de Linux o directamente Unix, por lo que las vulnerabilidades estaran mas estudiadas para estos sistemas de servidor.
Es como con los PC, al haber mas con Windows la gente se dedica a buscarle mas las cosquillas, pero es tan solo por cuestion de cuota de mercado y posibilidades que puede darte descubrir una vulnerabilidad para Windows, en lugar de una para Linux.
Vale que Windows Server es Windows y puede o no tener cierto nº de boquetes, pero no creas que tantos, la verdad es que un Windows server 2003 o 2008 bien configurado y protegido es un sistema bastante "fiable". De la misma manera que puede serlo o no un servidor con una distro de Linux.
Respecto a la pregunta, puedes buscar vulnerabilidades con algun escaner, a ver que encuentra.
Un saludo
Hola, gracias por vuestros mensajes
A ver, lo que es seguro es que es un poco cutrecillo, es un servidor que aloja audios de una cadena de televisión para que las productoras cojan de ahi las musicas de ambientación.
Yo la verdad es que no tengo ni idea de hacking ni nada de esto entonces no se por dónde empezar... pero seguro que hay alguna manera de acceder sin tener cuenta de usuario...
por ejemplo, alugn sistema de hacer logins con fuerza bruta?
pero que no sean con diccionarios, porque en los diccionarios que traen user y pass en una base de datos no va a dar ningun resultado; yo busco un FORCE BRUTE que pruebe todas las combinaciones posibles, con todos los caracteres y tal, aunque se tire semanas probando...
Semanas???
Di mejor siglos
Busca informacion en el foro del Brutus AET, esta explicado su funcionamiento en un manual.
Un saludo
y con INYECCIÓN SQL? se podría acceder a la zona restringida de la web?? como sería el método?
http://es.wikipedia.org/wiki/Inyecci%C3%B3n_SQL
inb4: ¡quiero que me lo déis hecho!
a ver, ya he leido un monton sobre el tema pero no tengo ni idea de como comenzar, no se nada de SQL, además tan solo he preguntado si es posible mi objetivo: entrar a la página que pide user y pass. pero ni siquiera sé exactamente si está programada en SQL, o en otro lenguaje
solo preguntaba si es posible entrar como usuario legítimo porque si no lo es, para abandonar.
1º Aprende SQL.
2º Comprueba si existe tal vulnerabilidad.
Algunos servidores no admiten fuerza bruta al ftp. El sss checkea si está disponible este ataque.
Lo de la fuerza bruta lo he descartado, demasiado complicado por no decir imposible... estoy investigando sobre inyeccion SQL o algo de eso.
El formulario de acceso se hace mediante una funcion javascript, __doPostBack, a ver si tirando de ahi se puede hacer algo....?
he conseguido un nombre de usuario, pero no la clave. ahora la fuerza bruta es mucho más viable realizarla? q me recomendais
si tienes paciencia de semanas, échale mano a la fuerza bruta. Prueba con un diccionario completito, si tienes paciencia...
no se si podre esperar semanas, de hecho, a lo mejor me van a dar una clave de acceso el mes que viene, pero yo no puedo esperar tanto tiempo, necesito entrar cuanto antes, si alguien quiere echarme una mano, que me lo comente por privado, la cosa parece bastante facil, porque es una pagina de una cosa no muy seria y de una empresilla bastante pequeña.
saludos
Marcadores