sábado, 25 de diciembre de 2010

Feliz navidad

Hoy es navidad y quisiera hacer un recuento de las buenas y malas acciones de este blog durante el año.

En enero hicimos público un error de configuración en el SMTP de la universidad que permitía enviar correo anónimo.

En marzo mostramos como hacer una transferencia de zona de un servidor DNS de la universidad para obtener una lista muy completa de los nombres de dominio y sus IPs asociadas.

En abril publicamos un par de formas de ver las fotos de los alumnos y profesores usando la pagina del SUM y la del sistema de bibliotecas. Pero sin duda el boom de ese mes fue el error del SCU que permitía modificar los datos que saldrían impresos en el carnet de biblioteca de cualquier alumno. Hicimos un vídeo demostrativo donde le cambiamos de sexo a Salomón.

Lo más destacable del mes de junio fue el XSS que encontramos en el foro de la comunidad DragonJAR debido a una falla en la configuración. Reportamos el bug e inmediatamente fue corregido ese mismo día.

Una madrugada de agosto, junto con mi amigo Salomón, nos metimos, sin querer, en el panel de administración de la web de la Tínka. Sí, de la lotería más importante del país. Reportamos el fallo y aunque no recibimos respuesta, fue corregido algunos días después.

Desde octubre, somos dos personas las que publicamos en este blog. W1b1 entró a formar parte del equipo y aportó nuevas ideas comenzando una etapa de cambio y relanzamiento del blog. Ese mes publicamos muchas vulnerabilidades XSS y SQLi en paginas de la universidad como vicus.unmsm.edu.pe en donde con un SQLi conseguimos listar todos los anexos de las oficinas de la universidad.

El mes de noviembre fue un mes bastante movido en el blog. Con 18 artículos publicados duplicábamos nuestro número de visitas. Creo que este incremento de popularidad del blog se debió a las series de posts "Inseguridad Inalámbrica" de nuestro amigo w1b1 y "Juaqueando webs con Joomla" que escribí yo. En noviembre también mostramos como hackear la web de la FISI explotando un error SQLi con el cual obteníamos los usuarios y contraseñas del site. Reportamos el error y fue corregido a la brevedad.

Este mes de diciembre, mi karma me paso la cuenta y me hackearon el correo electrónico personal. Felizmente fue un amigo que lejos de hacer maldades me avisó para que corrija la configuración de mi cuenta. Unos días después publicamos un post con los detalles de como lo hizo bajo el titulo de "El bug del correo alternativo". Desde entonces ese post ha tenido gran cantidad de visitas y el tema también fue abordado en otros blogs y foros. Este mes también hackeamos nuevamente la pagina web de la FISI ahora explotando un blind sqli con el que, otra vez, nos hicimos con los usuarios y contraseñas del site. Y por último hemos mostrado como explotar un sqli en la pagina web de la universidad que nos permite obtener las credenciales de cualquier usuario del sistema de bolsa de trabajo.

Bien, creo que al final del año no nos hemos portado del todo bien xD Somos unos chicos malos y no merecemos regalo de navidad. Pero ha sido emocionante, nos divertimos mucho, aprendimos cosas nuevas y hemos querido compartirlas con todos. Espero que el año que viene sigamos teniendo muchas aventuras y aprendiendo cada vez más.

Que pases unas felices fiestas :) Saludos.

4 comentarios:

  1. Enhorabuena por este pedazo de año que has realizado.

    Ya sabes que para cualquier cosa que necesites estaré por messenger jajaja
    Un saludo y feliz Navidad.

    ResponderEliminar
  2. Gracias, siempre es bueno poder contar con amigos.

    ¡Feliz Navidad! xD

    ResponderEliminar
  3. feliz fiestass shaggyyyyyyy , oee sacate radiografiaaa xD

    ResponderEliminar
  4. @Anónimo Jajajaja... ya entendí eso de la radiografía xD

    ResponderEliminar