sábado, 20 de octubre de 2018

Cuando algo está bien, está bien

Del 29 de noviembre al 2 de diciembre es el CyberCamp y es en Málaga, y la casualidad que estoy viviendo en Málaga. Así que yo llevaba ya varios días buscando para ver si podía sacar las entradas y asistir, ya que me he pillado vacaciones para esos 2 días(jueves y viernes). Como estaba mirando la web, me puse a mirar si podía sacar algo.



Me hubiese gustado encontrar algo interesante, pero la verdad es que no he encontrado nada, y lo que voy a hacer va a ser comentar lo que hice para tratar de encontrar algún fallo.


Miré los robots.txt de CyberCamp y vi cosas muy interesantes, así que me puse a jugar con la web creyendo que podía sacar algo y coronarme como fucker.



Primer traté de entrar en el login como admin y mostraba acceso denegado. Y esto es lo que debe pasar, ya que si en el robots.txt pongo disallow, qué menos que no me permita acceder, algo que no pasa en la web de la Universidad de Córdoba.


Como ya sabéis estuve haciendo las prácticas de la UCO, y allí no me enseñaron nada, bueno sí, una cosa pero que ya comentaré en otro post. Pero a lo que me refiero es que yo hice para que el acceso a wp-admin, fuese solamente posible desde la red de la Universidad...y los "doctores" de la UCO me pidieron que no, que ellos querían que se accediese desde cualquier red (algo poco aconsejable) ya que querían actualizar la web desde sus casas. Yo les sugerí el utilizar una VPN, pero no, parece que son muy doctores, pero que investigar y "trastear" les gusta poco.


En este caso CyberCamp, hace muy muy bien sus deberes, al menos hasta este punto, ya que simplemente llegué con poco tiempo y miré la web de forma superficial.


Tampoco dejaba acceso al /user/password para recuperar la contraseña, y esto me encantó. Conforme iba avanzando e investigando en la web iba descubriendo cosas que me gustaban cada vez más y a pesar de tener poco tiempo seguí mirando.




Traté un LFI pero tampoco, daba un Time-out. Es cierto que este post no saca ningún fallo ni vuln, pero es que quería precisamente eso, lo primero promocionar (y gratis) la CyberCamp; y lo segundo hacer ver que aunque siempre se saquen los éxitos de cuando consigues atacar un sitio, hay muchos intentos fallidos, mucha investigación detrás y muchos "fracasos" para un éxito, que es lo que creo que hace que la seguridad mole mucho.

¿Hackeamos el Mundo?

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...

Entrada destacada

El server me sabe a poco.

Soy un fanático del Rock y de Debian . (Creo que voy a inventar Rockbian, que suena bien y todo xD) Llevaba tiempo queriendo unir estos 2 c...