quinta-feira, 26 de fevereiro de 2009

hackiando site

Uma coisa importante é que a passwd file esteja no mesmo diretório que o programa. Para obter uma lista de outros métodos de quebrar uma passwd file, digite apenas "john", no diretório do programa, para obter uma lista de comandos. Eu acho que o JOHN THE RIPPER funciona bem sem wordlists, mas algumas pessoas discordam. Se quiser se aprofundar no programa, procure um texto que enine a usar o JOHN THE RIPPER . Este aqui ensina apenas o básico. Para concluir... se vc pegou a password e username, DIVIRTA-SE!!!


1>HAUMA PAGE EM UM SERVER QUE VC TB TENHA ACESSOCKEANDO :Essa seção ensina como hackear uma webpage num server onde vc já tem uma conta. Esse texto foi retirado de um texto feito por Lord Somer, e já que não quero arrancar algo importante do texto, vou apenas deixa-lo aí, apenas vou traduzi-lo, pois é um método complexo, onde qualquer cagada pode zoar o esquema todo.Exploiting Net Adminstration CGI (by Lord Somer)#######################################Exploiting Net Administration Cgi'slike nethosting.comWritten by:Lord SomerDate:9/2/97#######################################

Exploiting Net Administration Cgi'slike nethosting.comWritten by:Lord SomerDate:9/2/97#######################################

Bom, desde que a Nethosting.com fechou ou o que quer que seja, eu pensei:"Que porra eu vou fazer antes de esquecer como eu fiz esses hackz?" O que eu vou fazer é dizer COMO eu fiz, então daí vc pode vir a encontrar o mesmo sistema em algum outro lugar ou usar para tirar suas próprias idéias para o hack.

Basicamente, a nethosting.com fez toda a sua administração via CGI'z (net-admin.nethosting.com) Primeiro, vc precisa ter uma conta nesse server, falsifique unz numeros de cartão de crédito se necessário. Depois, entre dentro da área de administração... vc vai ver umas merdas como administração de FTP, e-mail, etc.

Quem se importa com e-mails? Então, vamos ao FTP. Clique na FTP ADMINISTRATION. Vamos dizer que vc está logado como 7hsphere.com.

Seu url seria algo do tipo:http://net-admin.nethosting.com/cgi-bin/add_ftp.cgi?7thsphere.com+ljad32432jl

Apenas mude o 7hsphere.com para qualquer domínio que o sistema tenha, ou se no chmod, apenas delete essa parte, mas deixe o sinal de +, para editar o diretório usr/home. Na administração do FTP. faça uma conta de backdoor para esse domínio criando um diretório chamado /, já que multiplas /// continuam mostrando apenas /.Uma vez que vc tem o backdoor, DIVIRTA-SE!Bom, a teoria básica desse tipo de exploit é que:-O CGI passava um parâmetro onde nós mudamos para algo do nosso interesse, para editarmos infoz.-Desde que isso usa o bagulho depois do + para verificar se este é uma conta valida logada, isso não checa a password novamente.

- Multiplas ///'z no UNIX apenas significam uma /, então, não podemos ganhar acesso à diretórios de outras pessoas ou todo o diretório /usr/home.Eu usei este método para hackear alguns lugares conhecidos:-7thsphere.com-sinnerz.com-hawkee.com-warez950.org-lgn.comE muitos outros sites desconhecidos.

5>OUTRA MANEIRA DE SE HACKEAR USER PAGESOutro método que pode funcionar com servidores mal administrados é, às vezes, quando vc abre um FTP no server, vc sai do seu diretório home, volta algunz diretórioz, e acha o diretório da vitima. Uma vez que vc tenha feito isso, vc pode acessar os arquivos HTML, salvá-los no disco, editá-los e colocar novamente dentro do dir. Os arquivos HTML podem ou não ficar dentro do FTP, mas com adminz, eles não são acessíveis para outros usuários.

6>MÉTODOS QUE NÃO SE ENCAIXAM NAS OUTRAS CATEGORIAS.Há muitas outras maneiras de se Hackear Web Pages. A burrice das pessoas é uma boa maneira. Muitas password'z são adivinháveis se elas não são hackeáveis. Isso não é hacking, mas sim estupidez de outras pessoas. Se vc pegar o root de um server, vc pode ter acesso a TUDO no servidor. Então, se vc quer hackear um servidor de webpage, ou acessar qualquer coisa nesse servidor, vc deve pegar uma conta e rodar um exploit no servidor, mas isso é uma coisa que newbies não devem tentar enquanto não tiverem certeza do que estão fazendo.

Nenhum comentário:

Postar um comentário