Bueno, aquí me puse a crear este tutorial, bastante simple, para la continuación del post
que hizo mi marido 4n0nym0us, lo cual me encargaré en vez de hacerlo manualmente como hizo él, sacar los datos, bajando el CF desde metasploit aquí pueden ver el tutorial de 4n0ny (http://www.indetectables.net/foro/viewt ... 59&t=29867), para que tengan una idea básica, empezemos dijo el viejo "chino":


Primero: necesitamos instalar el flasm, descargaremos lo paquetes.


¿Como, se preguntarán?


- Me gustaría contestarles, comiendome las pelotas, pero se que me hecharán de este zulo, así que contestaré correstamente, pondremos sudo apt-get install flasm, después de hacerlo, entraremos a el panel de la web aconsejo que useis (firefox). Cogeré una web, cualquier de toda la red, ya que solo mostraré y taparé los datos, con el dork que 4n0ny puso en su respectivo post (inurl:"login.swf"). Teniendo ya la web ([Enlace externo eliminado para invitados]), procedemos a copiar la url en la consola, recuerden que deberiamos haber instalando los paquetes del flasm.







Después de tener la url del panel por ejemplo: ([Enlace externo eliminado para invitados] ... /login.swf) procedemos a lo siguiente, nos vamos a la consola y ponemos:




Lo que haremos, será mandar una petición http y nos conectaremos desde la consola y lo que haremos será ver el CF del login.




Esto varia dependiendo del nombre que tenga el panel .swf, y en general de la URL de la web donde estemos bicheando, y nos mostrará si hemos hecho todo bién, el codigo fuente, de lo cual tendremos que ver el apartado "push" en este caso que será el que nos mostrará el logeo.



Tienen que saber, que el panel contiene label, lo cual, tendreís que fijaros bién en que parte
aparece el Push, en este caso, cada 7 lineas, me aparecieron los dos push, uno del login y otro de la casilla password.







Y ahora teniendo los datos del panel, volveremos a el panel en el firefox, y pondremos los datos, después de esto, ya se logean, y hacen los que les salga, siempre y cuando antes se reporte el bug, y no se haga un cambio de index/borrada de datos, un saludo, y es un simple ejemplo de que metasploit es la evolución, saludos 4n0nym0us, y gracias por tu tutorial

¿A que se debe lo de borrarme el mensaje?

3mp3z@ndo escribió:¿A que se debe lo de borrarme el mensaje?

Hola 3mpezando, fui yo, me equivoqué, vuelvelo a poner, gracias

Muy bueno Skillmax! Muchas gracias por esta buena explicación!

Ya tienen soporte hasta para los linuxeros. La herramienta Flasm también está para otros entornos como Windows aunque es un tanto desapacible leer solo lineas de código sin colorines jaja

Saludos hermano!

En fin pilarin, ya que le cambias el titulo al post revisalo y elimina todas las referencias a Metasploit que hacias desde el principio, ya que como puse en mi mensaje que fué borrado por accidente en ningún momento se hace uso de Metasploit en un tuto que originalmente trataba de bypassear un login flash con Metasploit.

De nada

3mp3z@ndo escribió:En fin pilarin, ya que le cambias el titulo al post revisalo y elimina todas las referencias a Metasploit que hacias desde el principio, ya que como puse en mi mensaje que fué borrado por accidente en ningún momento se hace uso de Metasploit en un tuto que originalmente trataba de bypassear un login flash con Metasploit.

De nada

3mp3z@ndo, en ningún momento se hace uso de metasploit ¿No?, entonces para que está este post, si no lo quieres hacer con metasploit (como se dice en este post), mirate el de 4n0nym0us, si te fijas un poco, lo que se hace con metasploit es leer el CF, no es nada "raro".

Saludos pilarin

Te repito, fijate tú en lo que escribes, no estás utilizando el Metasploit para leer ningún codigo fuente, estás desensamblando en archivo con fasm, NO con Metasploit, parece simple de entender pero en fin, por algún ¿extraño? motivo no se entiende, psssss, cada cual....

Para el que tenga problemas de retención:

1.- Se descarga el archivo con wget <------- ¿se utiliza Metasploit? NO
2.- Se desensambla el archivo con Flasm <------ ¿se utiliza Metasploit? NO

Son aplicaciones independientes y en ninguna parte del tutorial se hace uso de Metasploit (3 veces lo he dicho ya y aun no lo ves)

Y eso es lo unico que he dicho, se me hacia extraño un tutorial sobre como hacer algo con Metasploit sin utilizar Metasploit, pero que como ya dije en el mensaje que me borraste seré yo que estoy dormido...o que me quedo totnto entre tanto listo....y no lo veo

3mp3z@ndo escribió:Te repito, fijate tú en lo que escribes, no estás utilizando el Metasploit para leer ningún codigo fuente, estás desensamblando en archivo con fasm, NO con Metasploit, parece simple de entender pero en fin, por algún ¿extraño? motivo no se entiende, psssss, cada cual....

3mp3z@ndo, ¿lo estamos desensamblando con metasploit, o estamos usando a mi vecina, para hacerlo?..

Pues no se si en otro tuto usas a tu vecina la del pueblo, en este usas fasm que NO es metasploit, ¿Me puedes indicar la parte del tutorial donde llamas a flasm A TRAVES DE METASPLOIT?...mmmmyap

3mp3z@ndo escribió:Pues no se si en otro tuto usas a tu vecina la del pueblo, en este usas fasm que NO es metasploit, ¿Me puedes indicar la parte del tutorial donde llamas a fasm A TRAVES DE METASPLOIT?...mmmmyap

A mi vecina la uso para otras cosas, se está utilizando FASM, desde metasploit.

¿Que sentido tiene ejecutarlo desde metasploit si es una aplicación independiente?, está claro que desde metasploit se pueden ejecutar aplicaciones externas, pero en este caso no tiene sentido. ¿Realmente sabes lo que se está haciendo?

TheSur escribió:¿Que sentido tiene ejecutarlo desde metasploit si es una aplicación independiente?, está claro que desde metasploit se pueden ejecutar aplicaciones externas, pero en este caso no tiene sentido. ¿Realmente sabes lo que se está haciendo?

Hola TheSur, no, no tengo ni idea de lo que hago (como casi siempre), es simple, los linuxferos solemos usar metasploit, para casi todo, de hay, un tutorial simple, de como hacerlo, si no tocas linux, es lógico lo que estás diciendo.

Bueno chicos no enloquezcan, se utiliza Flasm por medio de Metasploit, al igual que la mayoría de herramientas en consola que trae la suit para tenerlas más a mano, así evitamos el cambio en cargar msf cada vez que se hace una auditoria.

Saludos!