Bueno Hace tiempo que no posteo nada es proque he estado algo ocupado...
Pero aqui les va la bomba...muchos decian que era un sistema inviolable...que no se podía entrar y demas cosas ( http://www.eluniversal.com.mx/nacion/139337.html )
Aunque no he analizado bien lo que llaman PREP (aunque me voy a poner a analizarlo) he descubierto una vulnerabilidad tipo Inyeccion SQL en la pagina del famoso IFE (bueno en uno de los muchos HOSTNAME's que tiene =P ). La Vuln se descubrio sin mas ty luego con una herramienta de Brute force logre hacer un blind Sqli.... Sin mas preambulos aqui les dejo parte de lo que he sacado:
He quitado la ruta para evitar lamers....
banner: 'PostgreSQL 8.* on x86_64-redhat-linux-gnu, compiled by GCC gcc (GCC) 4** 20070626 (Red Hat 4.****)'
database management system users [17]:
[*] acreditaciones
[*] acuerdos
[*] cnsmonitoreo
[*] correo
[*] horde
[*] httpd
[*] interfase
[*] intranet
[*] jhernan
[*] nobody
[*] pgsql
[*] postgres
[*] search
[*] secadi
[*] secadi2
[*] sg
[*] sivoto
Por obvias Razones he decidido quitar el resto del articulo ya que esta información es muy peligrosa y si caen en malas manos puede ser fatal...
Pero esta a la venta, Precio 25 mil Dólares (50% adelantado), y YO decidiré a quien le vendo una ves comprobado quien es el interesado.
12 comentarios:
Interesante!!!!!! no vendes esa informacio, es decir no vendes como o en que parte esta la inyeccion sql? Podria pagarte bien
Muy buena hermano te la comistes!!
Gracias por venderme la Info! eres un Capo! Sos lo maximo!
Hola Anonimo, No no vendo eso...lo que has visto es solo una prueba es obvio que no muestro informacion sensible como la direccion ;) si estas interesado contactame pero si vienes a joder estas perdiendo tu tiempo un saludo.
da un correo amigo para ponernos en contacto con usted
Hola "Anonimo" Bueno mi correo es nico_montezco@hotmail.com
Hola ubercracker, necesito entablar un platica contigo, ya descargue el archivo .rar
Tambien te agregue al msn
Saludos
en donde te puedo localizar
todavia tienes la b.d. completa?
Hola anonimo todavia tengo la Base de datos completa, y Me pueden localizar en el chat o enviandome un email a: Nico_Montezco@hotmail.com
me gustaria encontrar una persona, pero 3 mil USD es demaciado dinero :P, aun haci, asombroso, es increible que la base de datos de ife caiga con solo una inyeccion de datos mysql
Hola "ANONIMO"....Bueno lo que se vende es por estados o maximo por grupos...cada grupo cuesta 350 usd.
Por otra parte no es solo una Inyeccion SQl normal... :) si te interesa contactame a nico_montezco@hotmail.com o a serviciohacking@hotmail.com
Publicar un comentario