Baixe o app para aproveitar ainda mais
Prévia do material em texto
Googles nunca encontrei um artigo que explicasse como eh possivel transformar o google.com em uma poderosa ferramenta hacking. Por este motivo decidi escrever um artigo basico sobre isto. "allinurl:usuarios.mdb site:.com.br" busca por arquivos de banco de dados nomeados "usuarios.mdb" dentro do dominio mae ".com.br" "allintitle:admin panel site:.org" busca por supostas paginas de administracao dentro do dominio ".org" "allinurl:login.asp" lista todas as paginas com nome de "login.asp", e em alguns casos o google exibira uma versao "cache" da pagina onde sera possivel ver o codigo asp. ======================= ===Carder - midicart=== ======================= ----------------------------------------------------------------- Esses tutorias de Carder que irei publicar serão nem simples. Eu colocarei os arquivos bugados a serem procurados e como pegar as MDBs(os arquivos que contem os Ccs). ----------------------------------------------------------------- -> Procurando sites bugados O modo mais simples certamente é o Google(www.google.com) mas se você sabe bem de alguma linguagem de programação recomendo que faça seus próprios scans ;) Para achar sites bugados com essa falha v´no Google e digite: allinurl: meny2.asp ----------------------------------------------------------------- -> Pegando as MDBs Para pegar as MDBs você deverá substituir os URLs encontrador como no exemplo abaixo: Achamos o www.sitebug.com.br que tem o arquivo meny2.asp Colocamos no navegador www.sitebug.com.br/midicart.mdb ----------------------------------------------------------------- Ps. Nunca se esquece que os MDBs podem variar de diretorio ;) Esse txt é para aprendizado não me responsabilizo pelo que você vier a fazer. >>>>Vp-asp: Vp-asp é uma técnica que explora a ma configuração do programa VP-ASP Shopping Cart, usado por várias empresas que utilizam o sistema de comércio eletrônico. É explorada pelo browser , e basta você saber o nome do db e coloca-lo em seu browser, a partir daí faz o download do db. 1º passo: Vá até o google, ou use um programa de filtragem de url's e coloque para procurar pela seguinte palavra- chave: "allinurl:shopdisplaycategories.asp" (sem as aspas) Vão aparecer url's mais ou menos assim: www.porcaria.com/shop/shopdisplaycategories.asp 2º passo: Pegue o nome de uma das url's encontradas e coloque em seu browser, então substitua a parte "shopdisplaycategories.asp" por "shopdbtest.asp" para que a url fique assim: www.porcaria.com/shop/shopdbtest.asp A partir daí, vai aparecer uma tabela com vários nomes como: xDatabase = Nome do banco de dados. xDblocation = Localização do banco de dados. xdatabasetype = Tipo do banco de dados, se nada estiver escrito quer dizer que é do Access, ou seja, *.mdb xssl = Se estiver algo escrito, significa que o db(banco de dados) está nessa url. Mas e como faço para pegar o banco de dados? 3º passo: Veja o que está escrito em "xDatabase", este será o nome do db, normalmente é algo parecido com "shopping.mdb" ou "shopping450.mdb". Agora você ve o que está escrito no "xDblocation", porque esse é o diretório onde está localizado o db, e agora? 4º passo: Coloque na url, o diretório que está o db, seguido do nome do db. Ficaria mais ou menos assim: www.porcaria.com/shop/fpdb/shopping.mdb Pronto, você vai estar baixando o db. Claro que este texto está um pouco resumido, mas em breve estarei disponibilizando um texto sobre vp-asp que ensina muito bem explicado. >>>>SQL Injection: Não vou entrar na parte teórica da coisa, vou só explicar como usar e não o porque que acontecem as coisas, se você quer aprender isto procure gugliar um pouco e aprenda por si mesmo. Esta técnicas se baseia na injeção de comandos para o banco de dados SQL em conjunto com ASP ou PHP. O que você precisa saber por agora é simplesmente o que escrever. Nas mesmas urls que você fez a busca no tópico anterior sobre vp-asp, você vai encontrar na página um link, na parte inferior, "Shop Administration" ou coisa parecida com Administrador. Você tem que clicar no link e ele vai pedir o login e a senha. Você simplesmente vai responder os campos assim: login: ' or '1 senha: ' or '1 Isso mesmo, aspa + espaço + or + espaço + aspa + 1. Tem vezes que não precisa colocar senha. Após isso você vai ter acesso como administrador dentro do site e poderá ver os pedidos das pessoas, tenha sorte para encontrar um site co bastante pedidos e bastante CCs. :) Teste neste site: www.petipanema.com.br/shopadmin.asp Qualquer dúvida há um texto explicando a técnicas mais teóricamente e tudo mais em www.totalsecurity.com.br >>>>WebDav: Ainda não tive tempo de ler muito sobre essta falha, mas sei sobre um tutorial que um amigo ae fez, bem completo, com imagens, e bem explicado. Gostaria que desculpassem por não explicar aqui tudo direitinho, mas, a coisa aqui ta dificil. www.ownedyou.org - feito por den1ed >>>>Comersus: É uma boa falha, parecida com o Vp-asp, so que em outro programa de shopping-cart, pelo motivo do poerschke ter escrito um texto nesta semana eu já me poupo de escrever tudo aqui e passo diretamente a url. www.portalath.com/Poerschke salescart generated web site /fpdb/shop.mdb
Compartilhar