Michoacano’s Blog

http://g30rg3x.com/2007/02/01/diputadosgobmx-%c2%bfhackeados-por-google/

Habrá vacantes para administrar la pagina y servidor de los diputados, contraten me a mi a mi A MI!!!!, no sean malos, yo se moverle al apache para evitar listar directorios y se no poner directorios tan obvios si hay algo que esconder.

Sinceramente no sé , y tampoco creo que se pueda(tampoco me he puesto a buscar, prefiero averiguar), al menos en Mysql. Existe algo llamado SHOW TABLES, pero no es propiamente una consulta, por lo que en una UNION no se puede utilizar.

Hay otra forma de saber el nombre de las tablas, haciendo consultas a la base de datos information_schema, pero en un script, no se esta conectado a esa base de datos, si no a la que se esta ocupando. No se si se puedan hacer una consulta con datos de 2 BD en Mysql, al parecer en otros DBMS si.

En Postgresql si se puede mostrar las tablas de la base de datos, estando conectados a ella, ya que la información del shema esta en cada bd, por lo que un sistema con Sql Injection, utilizando Postgresql puede ser muy peligroso. Solo es hacer una unión y acomodar un poco la siguiente consulta.

SELECT table_name FROM information_schema.TABLES
WHERE table_schema = 'public';

¿Alguien sabe como y podría ilustrarnos a todos?

La pagina más famosa entre defacers fue defaciada(valga la redundancia ) por un defacer.

Si son rápidos todavía podrán ver el deface http://zone-h.org si no de todos modos aquí les dejo una captura de pantalla.

Yo me pregunto: ¿Qué tipo de clasificación se lleva este deface? ¿Donde pondrían el mirror?, pinches arabes siempre se pasan de lanza.

http://snipplr.com/view/1848/php–sacar-xss/

[Actualización] ——–
Makoki02.Com dice:
no seria mas facil
Makoki02.Com dice:
htmlentities
juLio dice:
si
juLio dice:
xDDDDDDDD
juLio dice:
Por eso lo puse entre ¿? además yo no la hice la vi por ahi

Sin duda este tipo de vulnerabilidad(XSS) y que tanto he hablado, casi todos los programadores de cms la han tenido.

Siempre pense que era culpa del programador(por no saber sobre bugss), ahora me doy cuenta que ellos no tienen la culpa… si no el hijo de su pinche madre del ayudante de office, vean no mas la imagen que me encontre.

JAAJA! Se paso de lanza el wey, me pregunto de donde me bajo ese IDE.

Enterre mi web www.juliodudu.tk, jejeje todavía recuerdo cuando andaba en aquellos rumbos, cuando te sentias hacker por defacear una web, aunque fue hace un año que puse ese mensaje, realmente son casi 2 en los que deje el defacing.

No puedo negar que aprendi muchas cosas, que si me sirvió de algo o no a estas alturas, no lo sé, pero me divertí mucho y sobre todo conocí a mucha gente. Creo que desde entonces he madurado, pero jamás me he arrepentido.

A todos aquellos cabrones que todavia tengo contacto con ellos, y aquellos que ya desaparecierón, les mando un saludo. Y también con los que nunca me lleve bien.
A un la gente me llama Dudu

Una utilidad muy buena para el defacing fue (si fue por que ya paso de moda), es en el que solamente conociendo el dominio o IP de el servidor, nos de todos los dominios que se encuentran en alojados ahí mismo.

Se preguntaran por que, pues cuando quieras “Hackear una pagina” y no sabes por donde, pues intentes entrar por otras partes……

Conocía varias t00ls con alto grado de 1337, incluso algunos intentos que hizo alguien y que nunca funcionaron, pero me acabo de encontrar con un servicio de este tipo online.

Reverse IP/Domain Lookup: http://www.seologs.com/ip-domains.html

Es una página donde poniendo solamente el dominio, o la IP te muestra los dominios compartidos en ese servidor. La búsqueda no es en tiempo real, pues según esto, es una base de datos que se encarga de recopilar estos datos. Por lo que no son datos precisos.

Lo interesante de esto es poner el dominio de google y se llevaran algunas sorpresas por lo que les va a mostrar.

Si ponen michoacano.com.mx encontraran que estoy hospedado en un Server PORNO (puto makoki), y haber si alguien se anima a hackearme xD.

Y como sabemos el jord1 admin. de lawaloca.com tiene un servidor, pues al parecer lawaloca también se conoce como chichi.com.mx JAJAJAJAJA!!! Se me hizo muy gracioso JAJAJAJAJAJA!! ChiChi JAJAJAAJAJ!!! xD

1) alfredo.lawaloca.com
2) chichi.com.mx
3) cl.planetalinux.org
4) hhh.lawaloca.com
5) jordi.net
6) lawaloca.com
7) planeta.debian.net
planetalinux.org
9) stats.lawaloca.com

Hace algunos años escribí….
—-
Saludillos gente. Esta ves les traigo cosas chidas, cosas geniales, cosas maravillosas, cosas fantasticas, cosas…..que les producirán orgasmos en vuestras mentes.

Pero antes de empezar con lo orgarismico, quiero decir algo. !! Todavía me llegan a mi mail puras pende jadas!!!!, o sea..¿Que les pasa?, acaso creen mi email es para enviar correos con putas cadenas, No, noooo, nooooooooooooooooooooooooooooooooooooooooo, el e-mail, es mas que enviar ese tipo de cosas(mensajes de amor, sin sentido, estupidos, fotos idiotas, mails del tipo SI NO ENVIAS ESTE CORREO A 20 PERSONAS SE TE CAE LA COLA), vaya que este puto mundo debe acabar.
Nota curiosa: Sabias que aproximadamente el 80% de la gente que utiliza internet, solo utiliza el chat y andar enviando correos estupidos. Este es un claro ejemplo de vuestra perdicion humana. Es por esto que he estado enviando ordenes impnoticas en mis mails,� para que una dia x, sigais mis ordenes y acabemos de una ves con este puto mundo.
OK pasemos a lo divertido. Como ya me canse de los mail que quieren que les ayude a conseguir contraseñas, pues aquí les enseño algo. COMO METERSE AL CORREO DE ALGUIEN RAPIDAMENTE Y SIN OBTENER SU CONTRASEÑA Les enseñare un método, que no podrán saber la contraseña pero si podrán ver su correo.

1.- Abre tu bandeja de correo en Hotmail y fijate en la URL o direccion de la pagina. Por ejemplo: ….. by8fd.bay8.hotmail.msn.com/cgi-bin/HoTMaiL?a=73502657c4814fb283e4ba08055293a3&curmbox=F000000005
Ves los numeritos que marque con negro???, pues que crees…ese es el bug de Hotmail para obtener contraseñas. Esos numeritos contienen la dirección de tu correo pero encriptada por ejemplo ahí diría dco1jumex@hotmail.com(mi amigo de la prepa)

2. Encriptar el correo, ahora lo que tienes que hacer es encriptar el correo de tu victima con el MD5 y sustituir esos numeritos por el correo encriptado de tu victima. pero ¿Cómo encripto el correo? Tienes que ir a la pagina http://www.elhacker.net/encriptador.htm y poner el correo de tu victima y pulsar el botón MD5, te aparecerá una cadena, esa cadena copiala y pegala en la direccion de arriba y……………wala…. Automáticamente estaras en el correo de esa persona.

——–

JAJAJAJAAJAJ!!!! No puedo creer que yo escribiera eso, hace algunos años, lo mejor de todo es que un chingo de gente se lo creyó AJAJAJAJ!!! Y se lo siguen creyendo. Si pueden notar todavía mi inmadurez y mis estilo de redacción, y una que otra cosa … AH! Que tiempos aquellos….

Hace poco andaba en flash y se me ocurrió intentar ejecutar código javascript.

Ya tengo algún tiempo utilizando flash, pero jamás lo había intentado para otros fines, que no sean para los que se creo el soft. En mis ratos de ocio se me ocurrió intentar hacer xss lo logre con la función geturl.

Si quieren ver la función: http://www.adobe.com/es/support/flash/ts/documents/popup_windows.htm

Lo interesante de todo esto, es que últimamente con la moda youtube, muchas páginas, foros, y demás cms permiten poner el código para adjuntar un flash.

Entonces según yo, podemos hacer xss desde flash, el siguiente código .
[as]geturl(”javascript:alert(document.cookie);”);[/as]

Muestra una ventana con la cookie. Claro que robar la cookie es con otro código, pero aquí no intento explicar eso(Wikipedia lo dice aqui). Crear un swf no es complicado, es lo mas fácil del mundo, solamente nos posicionamos en el primer fotograma, vamos Acciones de Fotograma y escribimos esa función.

Aunque me di cuenta de este ataque curiosando, aqui hablan de esto también y en muchas otras páginas. Tal vez parezca sencillo, pero es muy peligroso, con esto se podrian “hackear” páginas como lawaloca.com que acepta que los usuarios de los blogs pongan flash, foros que aceptan poner videos youtube, entre muchos otros cms, diganme ¿Quién no deja poner código para insertar un flash?

Pueden ver un ejemplo en la siguiente dirección que te muestra la cookie de imageshack:
http://img170.imageshack.us/my.php?image=cssln8.swf

Así es, realmente aplaudo al wey que hizo esto, no lo conozco ni se quien sea y no apoyo que haya hackeado una pagina ni que se crea hacker o no, si no la manera en que lo hizo para expresarse, eso si que es chingón.

Tuvo una excelente idea de expresión, y apoyo mucho lo que dice sobre que el senderodelpeje debería de aceptar comentarios, todas las paginas del antipeje aceptan comentarios, y las del peje no ¿Tendrán miedo de algo?

Felicidades al que lo hizo, solo recomendaría una cosa al sitio, ahora que han logrado lo más importante, lograr que la gente que visita senderodelpeje.com los visite a ustedes, deberían de poner cosas serias y no irse solo por la burla, vamos demostrémosle a la gente del sendero por que están pendejos, de una manera seria e inteligente. No hablen de que el víctor Hernández vive en usa y le pagan, mejor hablen de las pendejadas que dice, ya en su propia pagina esta la prueba de su amarillismo.

No desaprovechen esa oportunidad chavos!!!,

Dirán muchos que son sitios informativos o demás mierda, pero alguien a quien apoyo es al webmaster del sendero del peje ese wey publica todo lo que llega, hablo sobre los videos de ahumada y no solo lo que tiene que ver con cosas en contra del peje.

Ya por ultimo Reflexiona esto, ¿Qué es lo que realmente esta peleando López obrador?, es mucho más gente que lo desaprueba, que los que lo apoyan. El ha perdido el objetivo de lo que es realmente ser presidente de México(o de lo que queria hacer como presidente), dirán que es un líder pero ¿cuales son sus ideales? ¿Por qué lucha que me haga ser parte de su movimiento? ¿Seguros que es el nuevo benito Juárez?.

Andrés Manuel López Obrador tiene mucha razón en algo, el pan esta en su contra, los que no apoyan el movimiento están en contra, el trife, el ife, el presidente, la población del norte, mi hermano, mi escuela y sobre todo la Iglesia (según el) están en su contra. Tienes mucha razón cabron, un chingo de gente te odia, lo que no sabes es que nada mas y nada menos esas personas somos los mexicanos, y somos más wey tenlo por seguro.

Napa hizo publico un bug, que de publico ya tenia poco. Según mi percepción, pues ya era tan fácil chekar la dirección, recibo y más cosas con tan solo saber el número de teléfono de una persona, que parecía que esa información era libre y Telmex estaba de acuerdo ¬¬

Y digo esto, por que al menos desde hace 1 año y medio yo tengo conocimiento del bug, pero esto ya tenia mas tiempo, que parece que era ya algo normal y libre xD.

Mmmm pero de que es algo grave lo es, si se ponen a pensar se puede tener acceso de los datos de una persona tan solo con saber su numero de telefono, eso si que es grave.

http://www.hakim.ws/cum/index.php?topic=15055.0

Telmex Advisory

Este potente navegador ha dejado de ser solo una herramienta para navegar, o para los desarrolladores Web, pues ahora es una excelente herramienta para el arte “juaking” de los defacers o la intrucion web.
Les mostrare algunas extensiones con las que me he topado, y que son muy útiles para el arte del hacking.

Para los amantes del XSS llega una sencilla pero efectiva herramienta para editar fácilmente las cookies.

Add N Edit Cookies

Pues como dije, sencilla y sin mayor explicación.

Otra herramienta muy útil, y quizás la mejor, Tamper Data con la que puedes ver los headers y por si fuera poco también modificarlos, ¿Díganme que herramienta defacer equivale a esta extensión?… Si adivinaste…

Otra herramienta parecida y que también lo puede hacer la extensión anterior es

User Agent Switcher con el que puedes modificar el navegador que usas, claro entre “comillas”.

Una extensión muy útil y conocida es Web Developer , que todos conocen y una de las mejores. No hace falta una explicación para entender por que también es útil en este campo.

Ya para terminar, esta es la ultima extensión que he instalado en mi preciado firefox,

X-Ray 0.8 te permite ver los tags en la pagina sin ver directamente el código fuente, muy útil para sacar rápidamente información.

Estas son algunas extensiones que se pueden utilizar para intentar la instrucción a un sitio web, obviamente ninguna de estas extensiones fueron creadas para el defacing, pero su utilidad y facilidad para obtener información, son lo que las hacen un poco excitantes.

Y tu conoces alguna otra?