lunes, 17 de septiembre de 2018

Mal de amores de seguridad de Andy y Lucas

Sé que este post no va a enfadar a Andy y Lucas, ya que ellos defienden mucho el tomar decisiones y realizar acciones sin el consentimiento de las personas implicadas. Yo no quiero que Andy y Lucas tal y como se enfadó Lucas con la madre de un niño que fue asesinado hace un tiempo. No quiero que se enfade vaya a ser que Andy y Lucas hagan una canción y no queremos eso.





Resumo el caso. En uno de los conciertos de Andy y Lucas, sacaron una camiseta con los casos más famosos de niños asesinados pidiendo "Justicia". A ver, que justicia se ha hecho pues los asesinos han sido encarcelados, pero claro, a lo que se referían es a la cadena perpétua.Esa acción de Andy y Lucas es respetable, cada uno puede decir lo que quiera, el problema es que una de las madres de los niños que salía en la foto, pidió que no se usase la foto de su hijo, algo que es igualmente respetable, ya que hay que entender el dolor de la familia y que a lo mejor no quieren ver la foto de su hijo ya muerto en cada periódico y en las redes sociales después del tiempo transcurrido.

Lucas, de Andy y Lucas, se enfadó mucho y dijo que dejaba de usar la foto, pero que eso sí, que la gente que lo criticó [y supongo que la madre del niño asesinado también] no le pidiese autógrafos por la calle. No tiene mucho que ver una cosa con la otra, ya que si a la madre le molesta que se suba una foto de su difunto hijo sin su consentimiento, pues lo dejas de hacer, pides perdón y ya está, esa pataleta de niño pequeño del que todo el mundo se ha olvidado y que necesita jugar con el dolor de la personas para seguir ganando dinero, sobra.

Pues lo que quise hacer, ya que a Andy y Lucas no le molesta eso de que se tomen datos e información de otras personas sin su consentimiento y hacerlo público, es investigar en su web y encontrar fallos de seguridad.
 



Tiré de Google para ver si tenía algún archivo interesante bajo "Index of". Vi que sí además de ver que utilizaban Wordpress en su versión 4.9.8.



No tardé mucho en encontrar partes interesante como esa carpeta "admin/" dentro de la web de Andy y Lucas.


También tenían abierto el readme, algo que no es muy bueno, pero ya sabemos que Andy y Lucas están muy por encima y que con esto contaban. Esto lo digo para que no se enfaden y no me rechacen cuando les pida un autógrafo.


Este error también es interesante, ya que no indica la ruta de instalación, y en caso de tener acceso al sistema donde está montada la web.


También encontré un JSON donde, entre otras cosas, los plugins usado en la web de Andy y Lucas. Esto es algo importante también porque estamos sacando esta información con OSINT y sin tener que utilizar WPSCAN.


Era curioso cómo entrando a la carpeta en la que se ha almacenado uno de los plugins usados como es contact-form, un plugin que si no recuerdo mal es gratuito para utilizar un formulario de contacto en nuestro Wordpress, tenemos ese script php de desinstalación.



Finalmente tiré de WPSCAN para tratar de sacar los usuarios del Wordpress de la web. En este caso conseguí sacar al único usuario que tienen dado de alta, por lo que sólo nos queda sacar su contraseña y tendríamos acceso al panel de configuración.


Probamos que efectivamente el usuario existe y no es un falso positivo. Vemos que existe y que tan sólo nos falta su contraseña.

Yo quiero hacerme una camiseta donde ponga "Seguridad Ya" y la captura con el usuario obtenido con WPSCAN, ya que no creo que les moleste una camiseta ¿no? Sería hpócrita por su parte.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...