hackeando paginas web....
2 participantes
Página 1 de 1.
hackeando paginas web....
ChicoWap Jue Jun 18, 2009 5:57 am
Un pequeño tuto que te enseña lo basico y el resto para hackear una web....
haaa veanlo:
1º INTRODUCIoN
El objetivo de este documento es el dar a conocer posibles formas de alteracion del contenido de una pagina WEB por personal no autorizado a ello ( llamemoslo hacking ;)).
No me hago responsable del uso que se pueda hacer de este documento, pues su única finalidad es la de informar, y el que lo use para otra cosa... lo hace bajo SU entera responsabilidad... ¿ Queda claro ?, si no te parece bien deja de leer y borra el fichero de tu HD ( disco duro para los muy novatos...).
Las cosas que se describen en este fichero no te aseguran exito seguro, probablemente en la mayoria de los casos solo te sirvan para empezar, teniendo que improvisar tu, pero prometo que este doc. sera mejor que los que he visto sobre el tema en Internet.
El nivel de este documento es basico, pues no intenta enseñar todo en un dia, mas que nada saber como empezar a hacer algo digamos "util".
Nota: A pesar de que podras hacer todo lo que aqui pone desde Windows 95 o 98, te recomiendo que pruebes algun Linux (aunque sea el Trinux, que cabe en 3 disketes x´PPP (www.trinux.org)). Este documento esta escrito en WORD pk lo tiene todo cristo ( jeje casi todos ilegal para que se joda Microsoft (con perdon)).
2º DIFERENCIAS ENTRE TIPOS DE WEBs
Creo que para que nos entendamos mejor, es importante distinguir entre dos clases de WEBs, las webs personales, que pueden ser modificadas por el usuario propietario mediante su clave (tipo Geocities, Xoom y los proveedores de acceso a Inet que ofrecen espacio WEB).
El segundo tipo, serian aquellas WEBs, llamemoslas "principales" de un servidor, que solo pueden ser modificadas por usuarios con muy altos privilegios (llamemosles "root" o "administrador").
Pues que bien ¿no?, y esta diferenciacion tan chorra... ¿para que vale?... pues la utilizaremos para diferenciar las formas de hacernos con los passwords que nos dejan modificarlas... evidentemente no es igual de facil conseguir ser root en un server que tener una cuenta de usuario... asi que para esto es la diferenciacion.
3º OBTENIENDO PASSWORDS DE TIPO A (USUARIO):
Estos passwords de usuarios, generalmente no muy cualificados, se caracterizan por ser muy chorras, osea faciles de recordar, repetidos con los passwords de otras cosas... asi que si la persona propietaria de las WEB es alguien cercano a ti, puedes empezar provando algunas palabras que te puedan parecer "interesantes" ( nombre del perro, mujer, hijos, fecha de nacimiento, lugar de residencia...), pero tampoco te mates mucho provando pues esto es perder el tiempo muchas veces, asi que si a los 10 o 11 intentos ( según tu paciencia ) no sale nada, mejor dejes esta forma ;)
Pero tambien seria una buena idea intentar sacar el password a la "victima" a traves de engaños y demas ( lo llaman ingenieria social...), por ejemplo puedes ligarte al tio/a y conseguir que te diga su pass... o tambien puedes intentar meterle un troyano tipo BO o NETBUS, que te permitiran sacarle las pass, evidentemente no voy a contar aqui lo que le tienes que decir a la victima para que te crea... eso tendras que currelarlo tu un pokito
Ademas, si conseguimos el fichero de passwords del servidor... ¡¡Estamos de suerte!! Pues generalmente los passwords de usuario son bastante faciles de crackear... solo elige el usuario y pon el john the ripper a trabajar ( el john es uno de los programas de cracking de ficheros PASSWD de UNIX mas conocidos, puedes conseguirlo en www.geocities.com/SiliconValley/Peaks/7837 , si no sabes usarlo... DON´T WORRY, trae ayuda...).
Pero probablemente el problema no sea el uso del John, sino el conseguir el fichero PASSWD, asi que para eso vamos al siguiente apartado de este cursillo.
3º OBTENIENDO PASSWORDS DE TIPO B (root):
Normalmente los administradores de los servidores no se chupan el dedo, asi que conseguir el fichero o el root directamente a traves de un exploit ( programa que se aprovecha de un BUG o agujero en el sistema operativo) no sea una tarea facil.
Lo primero que puedes intentar es pillar el passwd por el FTP... y cuando eso no te haya funcionado probar el PHF ( escribir la siguiente linea en tu navegador: http://www.host.com/cgi-b...%0a/bin/cat%20/etc/passwd , donde host.com es el nombre del servidor...), si el phf funcionase ( en estos tiempos ya suele estar parcheado en casi todos los servidores, asi que si no te sirve no te deprimas), tendrias en tu pantalla el fichero passwd, pero antes de alegrarte fijate en algo, si aparece:
root:*:0:0:Charlie &:/root:/bin/csh
( un asterisco (*) detras del nombre "root" y los dos puntos, tambien puede aparecer una equis (x)...), querra decir que el fichero esta shadow osea que aparte del PASSWD necesitas otro archivo... el SHADOW, puedes intentar sacarlo con PHF cambiando la palabra passwd del final de la linea del PHF por la palabra shadow ( para ser un poco mas explicito puedes jugar con el phf, cambiando de directorio... supongo que te estaras dando cuenta de como y si no, hay va una pista... "etc" es el nombre de un directorio ).
Buiino, si lo anterior no ha funcionado, no te preocupes, aún tenemos mas bazas que jugar.
Si por cualquier casualidad de la vida posees una cuenta de usuario en el servidor, puedes intentar hacerte con el passwd ( y con el shadow si hace falta) a traves de telnet ( prueba con cat o more , para ver si Dios es tu amigo y puedes editar los archivos...) o, puedes enterarte del Sistema operativo que usa el server, version ... (enterate tambien de la version del STMP, FTP ...) y vete a buscar exploits ( ya explique antes lo que son exploits...).
Una vez que lo/s tengas pues... los pruebas!!! ¿Sino para que coño los has cojido?... para provarlos, primero tendras que compilarlos ( ojo, hay sploits que no hay que compilar, pues simplemente consisten en teclear unos comandos o algo asi... jeje si tienes algo de esperiencia seguro que recuerdas algunos viejos compañeros ;) ).
Un buen sitio para pillar exploits es: http://www.rootshell.com/
¿ Y donde los compilo ?, pues o el propio server ( con gcc ) o en otro con el mismo SO, ojo no puedes compilar exploits para un SUN en un linux Red Hat ... una vez que lo tengas compilado lo ejecutas... y a ¡jugar!
Despues de todo esto, y otro poco por tu parte seguramente ya tengas root en algun pequeño server para provar... (recuerda si no tienes mucha soltura... empieza por china o por alli lejotes... que si te pillan no se meteran mucho contigo ¿verdad?).
4º PRECAUCIONES
Pues eso... procura no usar cuentas verdaderas para conectar ( aunque piensa que si dejas huellas... los marrones seran pal dueño de la cuenta, y eso no esta bien..., asi que cuidado con las cuentas de internet robadas, solo usar las que sepais que el dueño es un verdadero hijoputa o algo asi... o mejor si usas servidores "intermedios" o borras las huellas con algun zapper ( si lo usas sastamente como un exploit)... ahh, si te kurrelas un root y tal, pues deja algun sniffer y eso para recoger la cosecha... ( mas ke na no desperdiciar kurro ya hecho
________________________________________
Hackeando Paginas web
1.Introduccion:
En este texto le vamos hablar sobre como hackear una pagina web.Estas son sus secciones:
Precauciones que debes tomar:
En las contraseñas - Archivos que hablan de las contraseñas
Desencryptando contraseña - Como desencryptar las contraseñas
Ftp - Como hackear una pagina por medio de ftp
Phf - Como hackear una pagina por medio de Phf
Home page gratis - Como hackear servidores de home page gratis
Home page gratis 2 - Otro metodo de como hackear servidores de home page gratis
Telnet o Exploits - Como hackear una pagina usando telnet o exploits
2.Precauciones:
En este texto voy a enseñar los diferentes metodos que existen para hackear una pagina,deseo recordarles que hackear una pagina es un crimen y puedes ir preso,siempre y cuando entres en algun sistema y este registre tu I.P.Por lo tanto antes de cometer un acto de hacking te recomiendo que tomes medidas de seguridad asi como spoofing o proxys...
3.Sobre las contraseñas:
Las contraseñas estan en un archivo llamado passwd.Este archivo esta normalmente en un archivo llamado etc/passwd.Entonces vamos hablar un poco sobre el passwd.Cuando usted encuentra el archivo passwd la contraseña puede venir encriptada o con shadow.La diferencia es que la contraseña encriptada esta encriptada y la contraseña con shadow esta escondida en cualquier otro lugar,no va a estar en el passwd.Las contraseñas con shadow son imposibles de desencriptar!(Tomando en cuenta que tengas UNIX)una contraseña encriptada es algo mas o menos asi:
root:User:d7Bdg:1n2HG2:1127:20:Superuser
TomJones:p5Y(h0tiC:1229:20:Tom
Jones,:/usr/people/tomjones:/bin/csh
BBob:EUyd5XAAtv2dA:1129:20:Billy
Bob:/usr/people/bbob:/bin/csh
Ahora un ejemplo de una contraseña con shadow
root
0:1:0000-Admin(0000):/:/usr/bin/csh
daemon1:1:0000-Admin(0000):/:
bin2:2:0000-Admin(0000):/usr/bin:
sys3:3:0000-Admin(0000):/:
adm4:4:0000-Admin(0000):/var/adm:
lp71:8:0000-lp(0000):/usr/spool/lp:
smtp0:0:mail daemon user:/:
uucp5:5:0000-uucp(0000):/usr/lib/uucp:
nuucp9:9:0000-uucp(0000):/var/spool/uucppublic:/
usr/lib/uucp/uucico
listen37:4:Network Admin:/usr/net/nls:
nobody60001:60001:uid no body:/:
noaccess60002:60002:uid no access:/:
webmastr53:53:WWW
Admin:/export/home/webmastr:/usr/bin/csh
pin4geo55:55:PinPaper
Admin:/export/home/webmastr/new/gregY/test/pin4geo:/bin/false
ftp54:54:Anonymous FTP:/export/home/anon_ftp:/bin/false
Puedes notar que tiene una "X" en la raiz,esta x tambien se puede representar por un "*".Ahora usted ya asabe un poco mas sobre el archivo passwd y las contraseñas
4.Desencryptando:
Para desencrytar una contraseña necesitaremos 3 archivos basicos.Una lista de palabras,un desencriptador(Caracas Underground te recomienda el crackerjack/jack 14)y logicamente en el archivo donde esta la contraseña(passwd)La lista de palabras como su nombre lo dice, es ya una lista de palabras. Desencryptador es el programa que usted va a utilizar para desencryptar la contraseña.Passwd en este archivo es donde esta la contraseña encryptada.
Coloque todos esos items en un mismo directorio.Abre un prompt de ms-dos y entra en el directorio donde estan.Ahora haz lo siguiente escribe:"el nombre del desencriptador","nombre del archivo donde esta la contraseña" y el nombre de la "lista de palabras".Entonces asumimos que nuestro programa es jack,el archivo es passwd y la lista de palabras es lista.Entonces seria asi:jack passwd lista.txt
5.FTP:
Quizasel ftp es el mejor metodo para hackear una pagina,Es el mas simple y rapido.Para hacer esto vamos a usar el ms-dos.Debe simplemente entrar en el ftp de la pagina con la conexion anonima y hacer la transferencia directa del archivo passwd.Abre un prompt de ms-dos.Vas a tener que entrar por ftp a la pagina,la direccion es normalmente igual,entonces escribe ftp WWW. hackers.com,ahi le van a pedir su nombre de usuario,Coloque anonymous,ahora va a pedir que coloques tu direccion de e-mail como contraseña.Claro ni se te ocurra poner la tuya,pon otra(Ejemplo:lammercitos@hotmail.com)Vas a entrar al ftp como user anonymus y restriction applly,eso significa que entrastes como usuario anonimo y con restricciones aplicadas!.Ahora necesitas ir al directorio etc.Entra y haz el download del directorio passwd.Para esto escribe "get passwd".Pronto el archivo passwd va a estar en el directorio en el que cuando usted entro en el ftp,Tipo windows - archivos de programa...!Ahora solamente te queda desencriptarlo y listo tendras la contraseña en tus manos...
6.PHF:
El PHF es con certeza el metodo mas facil de obtener el archivo passwd.Es tan sencillo que no necesitas muchos conocimientos,la unica cosa que debes saber es saber abrir tu navegador y colocar una direccion mas nada!Lo unico malo de este metodo es que hay una probabilidad de 95% de que no funcione.La mayoria de los servidores han arreglando este bug.Lo que debes hacer es colocar esto en tu navegador:
http://Direccon de la pagina/cgi-bin/phf?Qalias=x%0a/bin/cat% 20/etc/passwd
7.Hackeando servidores de paginas web gratis:
Algunos servidores de home page como geocities,tripode y angel fire dan espacio para que personas coloquen sus home pages.Hay modos muy simples de obtener contraseñas de paginas que estan en estos servidores.Todo lo que tienes es hacer es mandar un mail pidiendo que te devuelvan la contraseña y ellos te mandaran la contraseña de la pagina.Mas nada solo manda un e-mail pidiendo la contraseña y trata de suministrarle toda la informacion posible acerca de la pagina,ponle algo asi:"el mes pasado puse online una pagina atraves de sus servicios y recibi una contraseña y un login,puse algunas cosas en mi espacio y me fui de vacaciones,!Cuando volvi se me habia olvidado la contraseña solo recuerdo el login(el login seria en este caso la direccion de la pagina)En estos tiempos he tenido que cambiar mi proveedor de servicio de correo electronico,por lo tanto ahora tengo otro mail distinto,mi viejo e-mail era este(correo del webmaster de la pagina)Por favor espero a que me manden la contraseña ya que no tengo un backup de los archivos colocados en la pagina y no me gustaria perderlos.Espero que manden la contraseña lo mas rapido que puedan."Esta seria una muy buena treta para que caigan en la trampa y te manden la contraseña,pero si haces algo mejor mas rapido caeran y habras hackeado la pagina.
Compañias como geocities estan muy ocupadas como para revisar si esto es verdad o no,asi que un aproximado de 2 semanas te llegara la contraseña
8.Hackeando servidores de paginas web gratis(2):
Otro modo de hackear este tipo de paginas es engañar al propio webmaster de la pagina.Este modo funciona normalmente con webmaster idiotas que no saben mucho o que no perciben que ellos mismos estan dando su contraseña para ser hackeados.Hay otro metodo mas simple pero que demora mas,lo que debes hacer es crear una pagina donde se le diga al webmaster que si se registra recibira mas megas de alojamiento,de esta manera el caera facilmente,tienes que crear una pagina que sea muy parecia a las de geocities,tripode,etc...-Si quieres ver un buen ejemplo de lo que digo dirigete a Hacking Hotmail de ahi puedes fijarte y hacer una buena trampa,si te animas y haces uno,no olvides mandarnoslos y te lo agradeceremos mucho...-Hay otra tecnica muy parecida pero es mas complicada,para esto tendras que necesitar de un servidor personal y cambiar algunas cosas en tus configuraciones de tcp/ip,entra en las propiedades de tcp/ip y luego entra en configuracion DNS.Selecciona para activar el DNS,ahora escribe HOST-->WWW.GEOClTIES(recuerde que GEOClTIES esta escrito com "l" y una "i")entonces no escribe en el dominio -- > COM.Hata ahora vas bien en todo!Ok,ahora debes reiniciar el pc,sigue el mismo procedimiento del ejemplo de la pagina que deberas crear,guarda esa pagina y colocala en el directorio de paginas de su servdior,despues creas un directorio llamado miembros,entra en este y crea uno llamado "tools",coloca toda la pagina en este directorio,ponga su servidor a funcionar y entre en HTTP://WWW.GEOClTIES.COM/...s/tools/file_manager.html
La direccion tiene que ser esta para que funcione y listo la persona cae en la trampa y tu tendras su contraseña en tu mail,el ejemplo aki expuesto fue con geocities pero tambien sirve para angelfire,tripode,etc
PARA APRENDER HAY QUE LEER
haaa veanlo:
1º INTRODUCIoN
El objetivo de este documento es el dar a conocer posibles formas de alteracion del contenido de una pagina WEB por personal no autorizado a ello ( llamemoslo hacking ;)).
No me hago responsable del uso que se pueda hacer de este documento, pues su única finalidad es la de informar, y el que lo use para otra cosa... lo hace bajo SU entera responsabilidad... ¿ Queda claro ?, si no te parece bien deja de leer y borra el fichero de tu HD ( disco duro para los muy novatos...).
Las cosas que se describen en este fichero no te aseguran exito seguro, probablemente en la mayoria de los casos solo te sirvan para empezar, teniendo que improvisar tu, pero prometo que este doc. sera mejor que los que he visto sobre el tema en Internet.
El nivel de este documento es basico, pues no intenta enseñar todo en un dia, mas que nada saber como empezar a hacer algo digamos "util".
Nota: A pesar de que podras hacer todo lo que aqui pone desde Windows 95 o 98, te recomiendo que pruebes algun Linux (aunque sea el Trinux, que cabe en 3 disketes x´PPP (www.trinux.org)). Este documento esta escrito en WORD pk lo tiene todo cristo ( jeje casi todos ilegal para que se joda Microsoft (con perdon)).
2º DIFERENCIAS ENTRE TIPOS DE WEBs
Creo que para que nos entendamos mejor, es importante distinguir entre dos clases de WEBs, las webs personales, que pueden ser modificadas por el usuario propietario mediante su clave (tipo Geocities, Xoom y los proveedores de acceso a Inet que ofrecen espacio WEB).
El segundo tipo, serian aquellas WEBs, llamemoslas "principales" de un servidor, que solo pueden ser modificadas por usuarios con muy altos privilegios (llamemosles "root" o "administrador").
Pues que bien ¿no?, y esta diferenciacion tan chorra... ¿para que vale?... pues la utilizaremos para diferenciar las formas de hacernos con los passwords que nos dejan modificarlas... evidentemente no es igual de facil conseguir ser root en un server que tener una cuenta de usuario... asi que para esto es la diferenciacion.
3º OBTENIENDO PASSWORDS DE TIPO A (USUARIO):
Estos passwords de usuarios, generalmente no muy cualificados, se caracterizan por ser muy chorras, osea faciles de recordar, repetidos con los passwords de otras cosas... asi que si la persona propietaria de las WEB es alguien cercano a ti, puedes empezar provando algunas palabras que te puedan parecer "interesantes" ( nombre del perro, mujer, hijos, fecha de nacimiento, lugar de residencia...), pero tampoco te mates mucho provando pues esto es perder el tiempo muchas veces, asi que si a los 10 o 11 intentos ( según tu paciencia ) no sale nada, mejor dejes esta forma ;)
Pero tambien seria una buena idea intentar sacar el password a la "victima" a traves de engaños y demas ( lo llaman ingenieria social...), por ejemplo puedes ligarte al tio/a y conseguir que te diga su pass... o tambien puedes intentar meterle un troyano tipo BO o NETBUS, que te permitiran sacarle las pass, evidentemente no voy a contar aqui lo que le tienes que decir a la victima para que te crea... eso tendras que currelarlo tu un pokito
Ademas, si conseguimos el fichero de passwords del servidor... ¡¡Estamos de suerte!! Pues generalmente los passwords de usuario son bastante faciles de crackear... solo elige el usuario y pon el john the ripper a trabajar ( el john es uno de los programas de cracking de ficheros PASSWD de UNIX mas conocidos, puedes conseguirlo en www.geocities.com/SiliconValley/Peaks/7837 , si no sabes usarlo... DON´T WORRY, trae ayuda...).
Pero probablemente el problema no sea el uso del John, sino el conseguir el fichero PASSWD, asi que para eso vamos al siguiente apartado de este cursillo.
3º OBTENIENDO PASSWORDS DE TIPO B (root):
Normalmente los administradores de los servidores no se chupan el dedo, asi que conseguir el fichero o el root directamente a traves de un exploit ( programa que se aprovecha de un BUG o agujero en el sistema operativo) no sea una tarea facil.
Lo primero que puedes intentar es pillar el passwd por el FTP... y cuando eso no te haya funcionado probar el PHF ( escribir la siguiente linea en tu navegador: http://www.host.com/cgi-b...%0a/bin/cat%20/etc/passwd , donde host.com es el nombre del servidor...), si el phf funcionase ( en estos tiempos ya suele estar parcheado en casi todos los servidores, asi que si no te sirve no te deprimas), tendrias en tu pantalla el fichero passwd, pero antes de alegrarte fijate en algo, si aparece:
root:*:0:0:Charlie &:/root:/bin/csh
( un asterisco (*) detras del nombre "root" y los dos puntos, tambien puede aparecer una equis (x)...), querra decir que el fichero esta shadow osea que aparte del PASSWD necesitas otro archivo... el SHADOW, puedes intentar sacarlo con PHF cambiando la palabra passwd del final de la linea del PHF por la palabra shadow ( para ser un poco mas explicito puedes jugar con el phf, cambiando de directorio... supongo que te estaras dando cuenta de como y si no, hay va una pista... "etc" es el nombre de un directorio ).
Buiino, si lo anterior no ha funcionado, no te preocupes, aún tenemos mas bazas que jugar.
Si por cualquier casualidad de la vida posees una cuenta de usuario en el servidor, puedes intentar hacerte con el passwd ( y con el shadow si hace falta) a traves de telnet ( prueba con cat o more , para ver si Dios es tu amigo y puedes editar los archivos...) o, puedes enterarte del Sistema operativo que usa el server, version ... (enterate tambien de la version del STMP, FTP ...) y vete a buscar exploits ( ya explique antes lo que son exploits...).
Una vez que lo/s tengas pues... los pruebas!!! ¿Sino para que coño los has cojido?... para provarlos, primero tendras que compilarlos ( ojo, hay sploits que no hay que compilar, pues simplemente consisten en teclear unos comandos o algo asi... jeje si tienes algo de esperiencia seguro que recuerdas algunos viejos compañeros ;) ).
Un buen sitio para pillar exploits es: http://www.rootshell.com/
¿ Y donde los compilo ?, pues o el propio server ( con gcc ) o en otro con el mismo SO, ojo no puedes compilar exploits para un SUN en un linux Red Hat ... una vez que lo tengas compilado lo ejecutas... y a ¡jugar!
Despues de todo esto, y otro poco por tu parte seguramente ya tengas root en algun pequeño server para provar... (recuerda si no tienes mucha soltura... empieza por china o por alli lejotes... que si te pillan no se meteran mucho contigo ¿verdad?).
4º PRECAUCIONES
Pues eso... procura no usar cuentas verdaderas para conectar ( aunque piensa que si dejas huellas... los marrones seran pal dueño de la cuenta, y eso no esta bien..., asi que cuidado con las cuentas de internet robadas, solo usar las que sepais que el dueño es un verdadero hijoputa o algo asi... o mejor si usas servidores "intermedios" o borras las huellas con algun zapper ( si lo usas sastamente como un exploit)... ahh, si te kurrelas un root y tal, pues deja algun sniffer y eso para recoger la cosecha... ( mas ke na no desperdiciar kurro ya hecho
________________________________________
Hackeando Paginas web
1.Introduccion:
En este texto le vamos hablar sobre como hackear una pagina web.Estas son sus secciones:
Precauciones que debes tomar:
En las contraseñas - Archivos que hablan de las contraseñas
Desencryptando contraseña - Como desencryptar las contraseñas
Ftp - Como hackear una pagina por medio de ftp
Phf - Como hackear una pagina por medio de Phf
Home page gratis - Como hackear servidores de home page gratis
Home page gratis 2 - Otro metodo de como hackear servidores de home page gratis
Telnet o Exploits - Como hackear una pagina usando telnet o exploits
2.Precauciones:
En este texto voy a enseñar los diferentes metodos que existen para hackear una pagina,deseo recordarles que hackear una pagina es un crimen y puedes ir preso,siempre y cuando entres en algun sistema y este registre tu I.P.Por lo tanto antes de cometer un acto de hacking te recomiendo que tomes medidas de seguridad asi como spoofing o proxys...
3.Sobre las contraseñas:
Las contraseñas estan en un archivo llamado passwd.Este archivo esta normalmente en un archivo llamado etc/passwd.Entonces vamos hablar un poco sobre el passwd.Cuando usted encuentra el archivo passwd la contraseña puede venir encriptada o con shadow.La diferencia es que la contraseña encriptada esta encriptada y la contraseña con shadow esta escondida en cualquier otro lugar,no va a estar en el passwd.Las contraseñas con shadow son imposibles de desencriptar!(Tomando en cuenta que tengas UNIX)una contraseña encriptada es algo mas o menos asi:
root:User:d7Bdg:1n2HG2:1127:20:Superuser
TomJones:p5Y(h0tiC:1229:20:Tom
Jones,:/usr/people/tomjones:/bin/csh
BBob:EUyd5XAAtv2dA:1129:20:Billy
Bob:/usr/people/bbob:/bin/csh
Ahora un ejemplo de una contraseña con shadow
root
0:1:0000-Admin(0000):/:/usr/bin/cshdaemon
1:1:0000-Admin(0000):/:bin
2:2:0000-Admin(0000):/usr/bin:sys
3:3:0000-Admin(0000):/:adm
4:4:0000-Admin(0000):/var/adm:lp
71:8:0000-lp(0000):/usr/spool/lp:smtp
0:0:mail daemon user:/:uucp
5:5:0000-uucp(0000):/usr/lib/uucp:nuucp
9:9:0000-uucp(0000):/var/spool/uucppublic:/usr/lib/uucp/uucico
listen
37:4:Network Admin:/usr/net/nls:nobody
60001:60001:uid no body:/:noaccess
60002:60002:uid no access:/:webmastr
53:53:WWWAdmin:/export/home/webmastr:/usr/bin/csh
pin4geo
55:55:PinPaperAdmin:/export/home/webmastr/new/gregY/test/pin4geo:/bin/false
ftp
54:54:Anonymous FTP:/export/home/anon_ftp:/bin/falsePuedes notar que tiene una "X" en la raiz,esta x tambien se puede representar por un "*".Ahora usted ya asabe un poco mas sobre el archivo passwd y las contraseñas
4.Desencryptando:
Para desencrytar una contraseña necesitaremos 3 archivos basicos.Una lista de palabras,un desencriptador(Caracas Underground te recomienda el crackerjack/jack 14)y logicamente en el archivo donde esta la contraseña(passwd)La lista de palabras como su nombre lo dice, es ya una lista de palabras. Desencryptador es el programa que usted va a utilizar para desencryptar la contraseña.Passwd en este archivo es donde esta la contraseña encryptada.
Coloque todos esos items en un mismo directorio.Abre un prompt de ms-dos y entra en el directorio donde estan.Ahora haz lo siguiente escribe:"el nombre del desencriptador","nombre del archivo donde esta la contraseña" y el nombre de la "lista de palabras".Entonces asumimos que nuestro programa es jack,el archivo es passwd y la lista de palabras es lista.Entonces seria asi:jack passwd lista.txt
5.FTP:
Quizasel ftp es el mejor metodo para hackear una pagina,Es el mas simple y rapido.Para hacer esto vamos a usar el ms-dos.Debe simplemente entrar en el ftp de la pagina con la conexion anonima y hacer la transferencia directa del archivo passwd.Abre un prompt de ms-dos.Vas a tener que entrar por ftp a la pagina,la direccion es normalmente igual,entonces escribe ftp WWW. hackers.com,ahi le van a pedir su nombre de usuario,Coloque anonymous,ahora va a pedir que coloques tu direccion de e-mail como contraseña.Claro ni se te ocurra poner la tuya,pon otra(Ejemplo:lammercitos@hotmail.com)Vas a entrar al ftp como user anonymus y restriction applly,eso significa que entrastes como usuario anonimo y con restricciones aplicadas!.Ahora necesitas ir al directorio etc.Entra y haz el download del directorio passwd.Para esto escribe "get passwd".Pronto el archivo passwd va a estar en el directorio en el que cuando usted entro en el ftp,Tipo windows - archivos de programa...!Ahora solamente te queda desencriptarlo y listo tendras la contraseña en tus manos...
6.PHF:
El PHF es con certeza el metodo mas facil de obtener el archivo passwd.Es tan sencillo que no necesitas muchos conocimientos,la unica cosa que debes saber es saber abrir tu navegador y colocar una direccion mas nada!Lo unico malo de este metodo es que hay una probabilidad de 95% de que no funcione.La mayoria de los servidores han arreglando este bug.Lo que debes hacer es colocar esto en tu navegador:
http://Direccon de la pagina/cgi-bin/phf?Qalias=x%0a/bin/cat% 20/etc/passwd
7.Hackeando servidores de paginas web gratis:
Algunos servidores de home page como geocities,tripode y angel fire dan espacio para que personas coloquen sus home pages.Hay modos muy simples de obtener contraseñas de paginas que estan en estos servidores.Todo lo que tienes es hacer es mandar un mail pidiendo que te devuelvan la contraseña y ellos te mandaran la contraseña de la pagina.Mas nada solo manda un e-mail pidiendo la contraseña y trata de suministrarle toda la informacion posible acerca de la pagina,ponle algo asi:"el mes pasado puse online una pagina atraves de sus servicios y recibi una contraseña y un login,puse algunas cosas en mi espacio y me fui de vacaciones,!Cuando volvi se me habia olvidado la contraseña solo recuerdo el login(el login seria en este caso la direccion de la pagina)En estos tiempos he tenido que cambiar mi proveedor de servicio de correo electronico,por lo tanto ahora tengo otro mail distinto,mi viejo e-mail era este(correo del webmaster de la pagina)Por favor espero a que me manden la contraseña ya que no tengo un backup de los archivos colocados en la pagina y no me gustaria perderlos.Espero que manden la contraseña lo mas rapido que puedan."Esta seria una muy buena treta para que caigan en la trampa y te manden la contraseña,pero si haces algo mejor mas rapido caeran y habras hackeado la pagina.
Compañias como geocities estan muy ocupadas como para revisar si esto es verdad o no,asi que un aproximado de 2 semanas te llegara la contraseña
8.Hackeando servidores de paginas web gratis(2):
Otro modo de hackear este tipo de paginas es engañar al propio webmaster de la pagina.Este modo funciona normalmente con webmaster idiotas que no saben mucho o que no perciben que ellos mismos estan dando su contraseña para ser hackeados.Hay otro metodo mas simple pero que demora mas,lo que debes hacer es crear una pagina donde se le diga al webmaster que si se registra recibira mas megas de alojamiento,de esta manera el caera facilmente,tienes que crear una pagina que sea muy parecia a las de geocities,tripode,etc...-Si quieres ver un buen ejemplo de lo que digo dirigete a Hacking Hotmail de ahi puedes fijarte y hacer una buena trampa,si te animas y haces uno,no olvides mandarnoslos y te lo agradeceremos mucho...-Hay otra tecnica muy parecida pero es mas complicada,para esto tendras que necesitar de un servidor personal y cambiar algunas cosas en tus configuraciones de tcp/ip,entra en las propiedades de tcp/ip y luego entra en configuracion DNS.Selecciona para activar el DNS,ahora escribe HOST-->WWW.GEOClTIES(recuerde que GEOClTIES esta escrito com "l" y una "i")entonces no escribe en el dominio -- > COM.Hata ahora vas bien en todo!Ok,ahora debes reiniciar el pc,sigue el mismo procedimiento del ejemplo de la pagina que deberas crear,guarda esa pagina y colocala en el directorio de paginas de su servdior,despues creas un directorio llamado miembros,entra en este y crea uno llamado "tools",coloca toda la pagina en este directorio,ponga su servidor a funcionar y entre en HTTP://WWW.GEOClTIES.COM/...s/tools/file_manager.html
La direccion tiene que ser esta para que funcione y listo la persona cae en la trampa y tu tendras su contraseña en tu mail,el ejemplo aki expuesto fue con geocities pero tambien sirve para angelfire,tripode,etc
PARA APRENDER HAY QUE LEER
ChicoWap- Es mi Foro Ok!
- Cantidad de envíos : 53
Puntos Optenidos : 195
Fecha de inscripción : 14/06/2009
Re: hackeando paginas web....
Admin Vie Jun 19, 2009 1:27 am
Creo que para eso se necesitan 2 programas creo
Ftp no me recuerdo bien su nombre .
pero sabiendo
es muy dificil pero no impo.
Ftp no me recuerdo bien su nombre .
pero sabiendoes muy dificil pero no impo.
Admin- Admin
- Cantidad de envíos : 34
Puntos Optenidos : 1000084
Fecha de inscripción : 14/06/2009 -
Página 1 de 1.
Permisos de este foro:
No puedes responder a temas en este foro.