lunes, 25 de febrero de 2013

XSS con chocolate - Day 3

Hola otra vez!

Bueno, hoy en el day 3 de XSS voy a poner algo que mola bastante, no es bien bien una vulnerabilidad de tipo cross-site scripting, pero si de SQL (no Sql injection).

Ha sido encontrada por un amigo mío llamado Stakewinner00, una bastante fuerte la verdad y es de esas que te estas un día entero jugando... Bueno, tengo los datos de las tablas database y la verdad que no voy a subirlas enteras ni a mostrarlas al 100% ya que es ilegal xD

También decir que no voy a subir la url del infectado ya que es un fallo bastante grave y que se puede acceder facilmente con conocimientos de SQL, por lo tanto sería desvelar un truco... Y un mago nunca dice su truco jaja

Clic para hacer grande
 En el pantallazo podemos ver arriba a la izquierda el listado de el contenido de una de las bases de datos junto a sus propiedades de ID... A la derecha la lista de toooooooooodas las database, y que obviamente se puede acceder para obtener datos. Abajo hay el log para demostrar que se ha hecho y detrás la terminal con sqlmap para ir jugando con sus bases jejeje

Espero que hoy día tres, por ser el numero de la buena suerte os haya gustado e impresionado... Gracias nuevamente de stakewinner00 y nos vemos nuevamente en más XSS con chocolate!

Saludos :)
Publicado por en

2 comentarios:

  1. Unknown3 de marzo de 2013, 10:37

    Jaja que bueno.

    Creo que tambien se podía subir una webshell pero mejor no probarlo.

    ResponderEliminar
  2. Peter12 de marzo de 2013, 0:36

    fue divertido la verdad... }XD

    ResponderEliminar

Suscribirse a: Enviar comentarios (Atom)