lunes, junio 12, 2006

Hacktivistas

Alonso gana en Silverstone y Nadal en París, creo que después de esto ya estamos preparados para quedarnos en cuartos. En fin. Ojala no sea así.

La verdad es que no tenía muchas ganas de dar guerra así que me he puesto a recorrer los lugares de siempre para entretenerme, ya sabéis, porno, drogas, extremo y albertucho, que se sale!. Y deambulando, deambulando he llegado a la web de zone-h, a ver que habían hecho los defacers recientemente.

En la web me he encontrado con la publicación de una vulnerabilidad de phpbb, es un gestor de contenidos, de los muuuchos que están por ahí circulando. Me ha hecho gracia por varias razones. Primero es un ataque de RFI, (vamos, que injectas codigo PHP de servidor en la víctima a través de un servidor web controlado) y de eso hago mañana una demo, en segundo lugar es en PHPBB. Este gestor nos lo encontramos en un trabajito y la verdad fue bastante fácil, tanto que, en la web de zone-h, hace un mes o así, había un mensaje que decía que no se admitían defacements triviales como los de este sw.

Curiosidad.

Os paso los links,

El de la vulnerabilidad RFI en PHPBB:

http://www.zone-h.org/content/view/4708/92/

El de alguno que ya debe de haberlo probado:

http://micancun.net/phpBB2_Plus_152_readme_english.html

http://zachsmarketscore.com/phpbb/index.php


Un saludo, desde el lado del mundial.... digo del mal!!

15 comentarios:

Anónimo dijo...

Y otra currito del descubridor de la tortilla de patata.

Ahora solo falta que hables de los bugs de php-nuke para que te consideremos un Dios.

Menos mal que entro en tu blog para estar al día, que si no...

Chema Alonso dijo...

Ja,ja,ja,

eres un tipo hipergracio. Siento no poder enseñarte nada, me apena mucho :(. Si escribiera para enseñarte algo estaría aún más apenado. Snif. Pq no nos enseñas tu algo? Enga, dejanos tu web o tu blog o...que se yo. Alguna perla de tu conocimiento.

Un besoT

Chema Alonso dijo...

La verdad Nacho, que la noticia dará que hablar. Confirma que si algo/alguien mánda alguna información desde tus ordenadores les acaban pillando. Voy a investigar un poco el asunto pq tiene miga. Gracias por la info, con esto de los examenes estoy totalmente desconectao!.

Anónimo dijo...

Del creador de "Los fabricantes de hardware se molestan menos en fabricar drivers para Linux" y "PHPBB tiene más agujeros que un colador" llega un nuevo éxito a sus pantallas: "Si algo/alguien manda una información desde tus ordenadores les acaban pillando".

Siguiente pista: ese "algo" o "alguien" es Microsoft y lo manda a Microsoft.

A ver que nuevos descubrimientos haces.

Chema Alonso dijo...

cuanto odio, que poquito amor.

Gracias por tenerme de página de inicio en tu navegador!.

Y por cierto, ninguna de tus dos primeras fases es mia y ni tan siquiera, era lo que quería decir en mis posts. Aprende a leer, que la colera te ciega.

Besos, Besos, Besos y amor que es lo que necesitamos.

Anónimo dijo...

que el usuario anonimo te tiene en su punto de mira no lo niega nadie, pero, lo de "Del creador de "Los fabricantes de hardware se molestan meno..." tiene mucha gracia jajjajaja, además, seguro que te lo dice sin acritud.

gogoz

Chema Alonso dijo...

Ya sabes Ander, pero es que además, no se de donde lo ha sacado, pq me he revisado todos los posts y los comentarios que pongo y no he puesto eso. Será de Salsa Rosa?

Ya es chungo responsabilizarme de todas las gilipolleces que digo y hago como para preocuparme por las que no digo. En fin.

Anónimo dijo...

ya sabes, cada cual es dueño de sus silencios y esclavo de sus palabras

por cierto, ¿algun comentario sobre las ultimas actualizaciones de seguridad de M$? jijiji, sin más, por tocar las pelotas un poco (pero sin acritud) jajajajjajaa


gogoz

Chema Alonso dijo...

Pues 9 vulnerabilidades para todos sus productos en un mes me parece un buen ratio, creo que es la novena de Exchange en 3 años por ejemplo. Además, que aparezcan nuevas todos los meses es bastante normal debido al SDL. En él, cada vez que se encuentra una nueva vulnerabilidad en un producto se arregla, se genera un patrón que se mete en las herramientas de auditoría de código automáticas y se chequea con ese nuevo patrón el código existente. Así que está dentro de lo normal el paquete de las actualzaciones.

Como puntos buenos, a mi me parece genial, la planificación en la publicación y la facilidad de las herramientas de parcheo para usuarios y empresas.

Aquí están comentados por mister Ropero (que es el que nos grabó en el video de la morena) http://www.hispasec.com/unaaldia/2789

Ander, que digo yo, que quería ir en San Fermines por Pamplona a "debatir" algo. A ser posible intentaría ir al chupinazo. A ver si hay zuerrrrrrrte.

Chema Alonso dijo...

Perdón, no son 9, son más vulnerabilidades, son 9 parches, jar!

Anónimo dijo...

Pues si vienes al txupinazo tienes que venir con el traje de la selección y la cara pintada con la bandera de España, que es lo que se suele hacer cuando toca año de mundial.

Verás que risas.

Anónimo dijo...

jajajajajajjajajajajjaja

mu bueno lo de la cara pintada

jajajajajjajajajajjajajaja

Pos si te vienes pal txupinazo ya "debatiremos" algo

gogoz

Anónimo dijo...

Jugando a ser Maligno, lección 1º.

- Aplicación: notepad (es la primera lección, no nos vamos a poner a juankarlear peachepebebés... que eso es muy dificil)
-Abrimos el notepad, escribimos this app can break
-Guardamos el fichero con el nombre que queramos y cerramos.
-Doble click en el fichero

Dicen que solo es válido para Win2000/XP

Chema Alonso dijo...

me descojono!!

Ander, me pongo algún himno tb en el movil?? para ser mas "cul" en Iruña?

me piro a tudiar perros!

Anónimo dijo...

ya te dire a donde tienes que mandar el sms pa lo del himno (ya te contaré).

gogoz

Entrada destacada

Desde HOY es BlackFriday en 0xWord.com Cupón 10% descuento: BLACKFRIDAY2024 y descuentos con Tempos de MyPublicInbox @0xWord @mypublicinbox

Pues este año tenemos el  BlackFriday  durante  7 días , y poco más que decir en el artículo que lo que he puesto en el título del artículo....

Entradas populares