(02-09-2014, 12:27)BaltoZ|-|aar Skrev: Den side er sku ikke kodet med sikkerhed i bagtankerne.
https://jysktelecom.dk/adgang.php4 må være admin-panelet, og brugernavn:kodeord kombinationen skulle være således:
admin:1
admin:sille1234

Har dog ikke været i stand til at logge ind. Hmm.
Vi kunne eventuelt lave lidt ShellSec rabat? ;)
Naah. Tror jeg vil nøjes med at høste emails og telefonnumre, og så se om ikke der er nogle få der har valgt at bruge disse numre som kodeord ved deres emailudbyder...

Hey!! Du skal ikke høste mine info.. men hvem bruger også mobilnummer som kode til email..

anyway, kan jeg få rabat. Er ved at bestille et par simkort nu

(02-09-2014, 14:38)calvin Skrev: BaltoZ|-|aar - Holy in the ass de har mange databaser på den server.

PHP kode:

[*] db2beaten
[*] dbaafod
[*] dbaafodExport
[*] dbabpaabjerget
[*] dbalectorecruitment
[*] dbalfredcoNY
[*] dbaltgodt
[*] dbalwNY
[*] dbamisol_quiz
[*] dbandersonsupply
[*] dbantikboden
[*] dbantikboden2
[*] dbapacheLog
[*] dbascollection
[*] dbascollectionNY
[*] dbasiatakeawayNY
[*] dbaspegrendenmark
[*] dbaspegrendenmarkDE
[*] dbaspegrendenmarkJP
[*] dbaspegrendenmarkUK
[*] dbbcreklametryk
[*] dbbderhvervsrengoering
[*] dbberedskab
[*] dbbigben
[*] dbbigbenNY
[*] dbbmiasNY
[*] dbbogholder
[*] dbbogholderi
[*] dbboligsalg
[*] dbbonsavon
[*] dbborgerkroen
[*] dbbrandtech
[*] dbbrc
[*] dbbrdrdyrendalNY
[*] dbbrugttelefon
[*] dbbrugttelefonNY
[*] dbbrunke
[*] dbbrunke2
[*] dbbrunke_joomla
[*] dbbrunkeEW20
[*] dbbrunkeJoomla
[*] dbcanscan
[*] dbcardaek
[*] dbcardaek_backup
[*] dbcardaekEasywebNY
[*] dbcasavivre
[*] dbcentertool
[*] dbcntrading
[*] dbcntradingNY
[*] dbcobi
[*] dbcobibasic
[*] dbcontemplation
[*] dbdagens_tilbud
[*] dbdanskreumatologiskselskab
[*] dbdantotoLive
[*] dbdantotoPlayer
[*] dbdegronnesmolfer
[*] dbdenman
[*] dbdenmanDE
[*] dbdenmanUK
[*] dbderamayo
[*] dbderamayoUK
[*] dbdinbutik
[*] dbdisplaymap
[*] dbdksolar
[*] dbdoosangaffeltruck
[*] dbdrommepuden
[*] dbdurance
[*] dbdyvelogco
[*] dbeasyweb29
[*] dbeasywebshop59
[*] dbeasywebshop60
[*] dbeasywebshop9_salg
[*] dbeccoline_tilbud
[*] dbeccolinehelseprodukter
[*] dbecofan
[*] dbecofanShop
[*] dbenglishsilverhouse
[*] dbeshTest
[*] dbetexejendomme
[*] dbfaunajewels
[*] dbflarupmaskiner
[*] dbfolietech_quiz
[*] dbfrigastdollshop
[*] dbfrigastdollshopUK
[*] dbfrt
[*] dbgallery
[*] dbgetgforceNY
[*] dbgludtrading
[*] dbgodevine
[*] dbgourmet_tilbud
[*] dbgreendevils
[*] dbgulliversverden
[*] dbhakimco
[*] dbhandelshusetvegaNY
[*] dbhandelshusetvegaUKNY
[*] dbhavsteen
[*] dbhavsteendk
[*] dbhavsteenuk
[*] dbhpdanmark
[*] dbhrmjobconsultNY
[*] dbibwahl
[*] dbihgaffeltruck
[*] dbihmaskiner
[*] dbihmaskiner_se
[*] dbinstyleglas
[*] dbjmhedegaard
[*] dbjoaniser
[*] dbjobraadgiverneNY
[*] dbjoomla
[*] dbjoomla25
[*] dbjysktelecom
[*] dbjysktelecomNY
[*] dbkaffekrukkenNY
[*] dbkalender247
[*] dbkalenderAbpaabjerget
[*] dbkalenderAftaler
[*] dbkalenderGreendevils
[*] dbkalenderhf
[*] dbkalenderhp
[*] dbkalenderjl
[*] dbkalenderkh
[*] dbkalenderkn
[*] dbkalenderLaegekreds
[*] dbkalenderlb
[*] dbkalenderMunkBrunke
[*] dbkathrineberg
[*] dbkeepon
[*] dbkjaersimport
[*] dbkkhusoghave
[*] dbklubvin
[*] dbkompromis
[*] dbkompromisShop
[*] dbkorrespo
[*] dbkultur
[*] dbkulturPlakater
[*] dbkundeemner
[*] dbkunstindustrien
[*] dbkunstindustrien_web
[*] dblacarta
[*] dblaeger
[*] dblaktoNY
[*] dblarsteit
[*] dblenefauerby
[*] dblfbs
[*] dblfbsNyhedsbrev
[*] dblffsas
[*] dblifelineinterieur
[*] dblifelineinterieurShop
[*] dblilimalene
[*] dbmaggie
[*] dbmailQueue
[*] dbmaisonjardinantik
[*] dbmalerkunst
[*] dbmaskinwebben
[*] dbmaskinwebbenNY_shop
[*] dbmaster
[*] dbmatttvatten
[*] dbmbpbyg
[*] dbmobelmaglerne
[*] dbmusicastorica
[*] dbmusicbooks
[*] dbmusikserver
[*] dbmykidsdeal
[*] dbnaturmaling
[*] dbnaudio
[*] dbnaudioNyhedsbrev
[*] dbnetcom
[*] dbnetcomafkurser
[*] dbnewskills
[*] dbnielspdesignDE
[*] dbnielspdesignDK
[*] dbnordicpetsupply
[*] dbnordskovhusene
[*] dbnordskovhusene_
[*] dbnovo_hil1
[*] dbnovo_streaming
[*] dbnovo_streaming_backup
[*] dbnovo_streaming_hil1
[*] dbnovo_streaming_hil2
[*] dbnovo_streaming_hil3
[*] dbnovo_streaming_hil4
[*] dbnovo_streaming_hil5
[*] dbnovo_streaming_hil6
[*] dbnovo_streaming_hilp
[*] dbnovo_streaming_HP
[*] dbnovo_streaming_kal
[*] dbnovo_streaming_LB
[*] dbnovo_streaming_test
[*] dbonlight
[*] dbopgavestyring
[*] dbosondergaard
[*] dbosondergaardNY
[*] dbovaltbord
[*] dbowncloud
[*] dbpd5_shop
[*] dbpekmarketing
[*] dbpercsyn
[*] dbpfa
[*] dbphaseone
[*] dbphilipsonwine
[*] dbphilipsonwine_tilbud
[*] dbpina
[*] dbpku_wordpress
[*] dbpolitiken
[*] dbposseltskolemateriel
[*] dbprestashop
[*] dbprestashop1.5
[*] dbprestashop_1.4.1
[*] dbprestashop_1.4.9
[*] dbproduktionsvognen
[*] dbprofic
[*] dbprojektstyring
[*] dbpuzzypower
[*] dbpuzzypowerUK
[*] dbravnen
[*] dbravnenNY
[*] dbreha
[*] dbritzauPlayer
[*] dbrmstruck
[*] dbroenhoffNY
[*] dbronhoff
[*] dbronhoffCatalog
[*] dbrosaogridderen
[*] dbrovsingsgademarked
[*] dbsandagergrundejerforening
[*] dbsandkasse
[*] dbsandras_haveservice_quiz
[*] dbsavenow
[*] dbsbpfashion
[*] dbseabeautyNY
[*] dbserverOvervaagning
[*] dbshopasiaShop1
[*] dbshopasiaShop2
[*] dbshopfocustv
[*] dbskovgaard2
[*] dbskovgaardBrunke
[*] dbsocialtime
[*] dbsocialtime_HP
[*] dbsocialtime_LB
[*] dbsocialtime_site
[*] dbsocialtime_test
[*] dbsocialtime_tilbud
[*] dbsocialtime_udvikling
[*] dbsolboliger
[*] dbsoundear
[*] dbsperlingNY
[*] dbsperlingUKNY
[*] dbstamtrae
[*] dbstickersdeluxe
[*] dbstorerobert
[*] dbstorerobert_quiz
[*] dbsuperrenrengoring
[*] dbsushione
[*] dbsushistyle
[*] dbsvendnimand
[*] dbsvendnimandUK
[*] dbtabletsystems
[*] dbtaepperenskbh
[*] dbtaepperenskbhGAMMEL
[*] dbteakxteak
[*] dbteltrens
[*] dbteltseglatvatt
[*] dbtemper
[*] dbthaicorner
[*] dbthaifairexport
[*] dbthaishop1
[*] dbtnpart
[*] dbtotalstone
[*] dbtrademike
[*] dbtrailergaarden
[*] dbtravgalopPlayer
[*] dbtrendofluxury
[*] dbtvbella
[*] dbtwoface
[*] dbvareparti
[*] dbvaskeriet
[*] dbvegabrugskunst
[*] dbvegabrugskunstUK
[*] dbviacphNY
[*] dbviacphNY2
[*] dbviacphshop
[*] dbvimeo
[*] dbvipnr
[*] dbwebstream
[*] dbwebstreamNY
[*] dbwellnessgroup
[*] dbwellnessskolen
[*] dbwetflower
[*] dbxft
[*] ftftv
[*] gludtradingNY
[*] information_schema
[*] mysql
[*] osondergaardNY
[*] performance_schema
[*] root_tmpdb
[*] temp
[*] test 


Bemærk vigtigheden af at sætte "db" foran for at vise at det er databaser.

(02-09-2014, 14:51)calvin Skrev: Alle tables starter med tbl :D Derefter er column navne på dansk :D

Hvis man ikke kan se det på navnets placering i en query om det er en database/tabel, så er man også en dør :P
Kolonnerne hedder ikke noget med col eller hvad?

(02-09-2014, 12:52)Neoload Skrev: Hey!! Du skal ikke høste mine info.. men hvem bruger også mobilnummer som kode til email..

Uhyggeligt mange personer gør lige præcis dette ;)

(02-09-2014, 14:38)calvin Skrev: BaltoZ|-|aar - Holy in the ass de har mange databaser på den server.

PHP kode:

[*] db2beaten
[*] dbaafod
[*] dbaafodExport
[*] dbabpaabjerget
[*] dbalectorecruitment
[*] dbalfredcoNY
[*] dbaltgodt
[*] dbalwNY
[*] dbamisol_quiz
[*] dbandersonsupply
[*] dbantikboden
[*] dbantikboden2
[*] dbapacheLog
[*] dbascollection
[*] dbascollectionNY
[*] dbasiatakeawayNY
[*] dbaspegrendenmark
[*] dbaspegrendenmarkDE
[*] dbaspegrendenmarkJP
[*] dbaspegrendenmarkUK
[*] dbbcreklametryk
[*] dbbderhvervsrengoering
[*] dbberedskab
[*] dbbigben
[*] dbbigbenNY
[*] dbbmiasNY
[*] dbbogholder
[*] dbbogholderi
[*] dbboligsalg
[*] dbbonsavon
[*] dbborgerkroen
[*] dbbrandtech
[*] dbbrc
[*] dbbrdrdyrendalNY
[*] dbbrugttelefon
[*] dbbrugttelefonNY
[*] dbbrunke
[*] dbbrunke2
[*] dbbrunke_joomla
[*] dbbrunkeEW20
[*] dbbrunkeJoomla
[*] dbcanscan
[*] dbcardaek
[*] dbcardaek_backup
[*] dbcardaekEasywebNY
[*] dbcasavivre
[*] dbcentertool
[*] dbcntrading
[*] dbcntradingNY
[*] dbcobi
[*] dbcobibasic
[*] dbcontemplation
[*] dbdagens_tilbud
[*] dbdanskreumatologiskselskab
[*] dbdantotoLive
[*] dbdantotoPlayer
[*] dbdegronnesmolfer
[*] dbdenman
[*] dbdenmanDE
[*] dbdenmanUK
[*] dbderamayo
[*] dbderamayoUK
[*] dbdinbutik
[*] dbdisplaymap
[*] dbdksolar
[*] dbdoosangaffeltruck
[*] dbdrommepuden
[*] dbdurance
[*] dbdyvelogco
[*] dbeasyweb29
[*] dbeasywebshop59
[*] dbeasywebshop60
[*] dbeasywebshop9_salg
[*] dbeccoline_tilbud
[*] dbeccolinehelseprodukter
[*] dbecofan
[*] dbecofanShop
[*] dbenglishsilverhouse
[*] dbeshTest
[*] dbetexejendomme
[*] dbfaunajewels
[*] dbflarupmaskiner
[*] dbfolietech_quiz
[*] dbfrigastdollshop
[*] dbfrigastdollshopUK
[*] dbfrt
[*] dbgallery
[*] dbgetgforceNY
[*] dbgludtrading
[*] dbgodevine
[*] dbgourmet_tilbud
[*] dbgreendevils
[*] dbgulliversverden
[*] dbhakimco
[*] dbhandelshusetvegaNY
[*] dbhandelshusetvegaUKNY
[*] dbhavsteen
[*] dbhavsteendk
[*] dbhavsteenuk
[*] dbhpdanmark
[*] dbhrmjobconsultNY
[*] dbibwahl
[*] dbihgaffeltruck
[*] dbihmaskiner
[*] dbihmaskiner_se
[*] dbinstyleglas
[*] dbjmhedegaard
[*] dbjoaniser
[*] dbjobraadgiverneNY
[*] dbjoomla
[*] dbjoomla25
[*] dbjysktelecom
[*] dbjysktelecomNY
[*] dbkaffekrukkenNY
[*] dbkalender247
[*] dbkalenderAbpaabjerget
[*] dbkalenderAftaler
[*] dbkalenderGreendevils
[*] dbkalenderhf
[*] dbkalenderhp
[*] dbkalenderjl
[*] dbkalenderkh
[*] dbkalenderkn
[*] dbkalenderLaegekreds
[*] dbkalenderlb
[*] dbkalenderMunkBrunke
[*] dbkathrineberg
[*] dbkeepon
[*] dbkjaersimport
[*] dbkkhusoghave
[*] dbklubvin
[*] dbkompromis
[*] dbkompromisShop
[*] dbkorrespo
[*] dbkultur
[*] dbkulturPlakater
[*] dbkundeemner
[*] dbkunstindustrien
[*] dbkunstindustrien_web
[*] dblacarta
[*] dblaeger
[*] dblaktoNY
[*] dblarsteit
[*] dblenefauerby
[*] dblfbs
[*] dblfbsNyhedsbrev
[*] dblffsas
[*] dblifelineinterieur
[*] dblifelineinterieurShop
[*] dblilimalene
[*] dbmaggie
[*] dbmailQueue
[*] dbmaisonjardinantik
[*] dbmalerkunst
[*] dbmaskinwebben
[*] dbmaskinwebbenNY_shop
[*] dbmaster
[*] dbmatttvatten
[*] dbmbpbyg
[*] dbmobelmaglerne
[*] dbmusicastorica
[*] dbmusicbooks
[*] dbmusikserver
[*] dbmykidsdeal
[*] dbnaturmaling
[*] dbnaudio
[*] dbnaudioNyhedsbrev
[*] dbnetcom
[*] dbnetcomafkurser
[*] dbnewskills
[*] dbnielspdesignDE
[*] dbnielspdesignDK
[*] dbnordicpetsupply
[*] dbnordskovhusene
[*] dbnordskovhusene_
[*] dbnovo_hil1
[*] dbnovo_streaming
[*] dbnovo_streaming_backup
[*] dbnovo_streaming_hil1
[*] dbnovo_streaming_hil2
[*] dbnovo_streaming_hil3
[*] dbnovo_streaming_hil4
[*] dbnovo_streaming_hil5
[*] dbnovo_streaming_hil6
[*] dbnovo_streaming_hilp
[*] dbnovo_streaming_HP
[*] dbnovo_streaming_kal
[*] dbnovo_streaming_LB
[*] dbnovo_streaming_test
[*] dbonlight
[*] dbopgavestyring
[*] dbosondergaard
[*] dbosondergaardNY
[*] dbovaltbord
[*] dbowncloud
[*] dbpd5_shop
[*] dbpekmarketing
[*] dbpercsyn
[*] dbpfa
[*] dbphaseone
[*] dbphilipsonwine
[*] dbphilipsonwine_tilbud
[*] dbpina
[*] dbpku_wordpress
[*] dbpolitiken
[*] dbposseltskolemateriel
[*] dbprestashop
[*] dbprestashop1.5
[*] dbprestashop_1.4.1
[*] dbprestashop_1.4.9
[*] dbproduktionsvognen
[*] dbprofic
[*] dbprojektstyring
[*] dbpuzzypower
[*] dbpuzzypowerUK
[*] dbravnen
[*] dbravnenNY
[*] dbreha
[*] dbritzauPlayer
[*] dbrmstruck
[*] dbroenhoffNY
[*] dbronhoff
[*] dbronhoffCatalog
[*] dbrosaogridderen
[*] dbrovsingsgademarked
[*] dbsandagergrundejerforening
[*] dbsandkasse
[*] dbsandras_haveservice_quiz
[*] dbsavenow
[*] dbsbpfashion
[*] dbseabeautyNY
[*] dbserverOvervaagning
[*] dbshopasiaShop1
[*] dbshopasiaShop2
[*] dbshopfocustv
[*] dbskovgaard2
[*] dbskovgaardBrunke
[*] dbsocialtime
[*] dbsocialtime_HP
[*] dbsocialtime_LB
[*] dbsocialtime_site
[*] dbsocialtime_test
[*] dbsocialtime_tilbud
[*] dbsocialtime_udvikling
[*] dbsolboliger
[*] dbsoundear
[*] dbsperlingNY
[*] dbsperlingUKNY
[*] dbstamtrae
[*] dbstickersdeluxe
[*] dbstorerobert
[*] dbstorerobert_quiz
[*] dbsuperrenrengoring
[*] dbsushione
[*] dbsushistyle
[*] dbsvendnimand
[*] dbsvendnimandUK
[*] dbtabletsystems
[*] dbtaepperenskbh
[*] dbtaepperenskbhGAMMEL
[*] dbteakxteak
[*] dbteltrens
[*] dbteltseglatvatt
[*] dbtemper
[*] dbthaicorner
[*] dbthaifairexport
[*] dbthaishop1
[*] dbtnpart
[*] dbtotalstone
[*] dbtrademike
[*] dbtrailergaarden
[*] dbtravgalopPlayer
[*] dbtrendofluxury
[*] dbtvbella
[*] dbtwoface
[*] dbvareparti
[*] dbvaskeriet
[*] dbvegabrugskunst
[*] dbvegabrugskunstUK
[*] dbviacphNY
[*] dbviacphNY2
[*] dbviacphshop
[*] dbvimeo
[*] dbvipnr
[*] dbwebstream
[*] dbwebstreamNY
[*] dbwellnessgroup
[*] dbwellnessskolen
[*] dbwetflower
[*] dbxft
[*] ftftv
[*] gludtradingNY
[*] information_schema
[*] mysql
[*] osondergaardNY
[*] performance_schema
[*] root_tmpdb
[*] temp
[*] test 


Deres første tesetbruger i databasen er fra 2004. Det lort der + måske 100+ andre siders data har bare stået piv åbent siden. That shit is insane, der må være tæt på 100.000 brugeres data hvis man dumper alle databaser. Crazy crazy crazy.

Wow. Ikke alt for smart. :D
Kunne næsten fristes til at køre det igennem xCat, for at se om der er noget spændende.

(04-09-2014, 17:58)calvin Skrev: Der er ingen cc numre, men der er nogle random plaintext passwords, og shitloads af navn, tlf, adresser osv.

Heller ikke underligt i betragtning af at han bruger en ekstern betalings-gateway der godt kunne se ud til at hænge sammen med hans hosting plan.

(04-09-2014, 18:23)calvin Skrev: Syne bare jeg ville nævne det, jeg har intet at bruge resten til :p Men man kan rippe i en vild hastighed, med 10 tråde er det nok 20-30 records i sekundet.

Jah, jeg fik engang til opgave at rippe alle video-links fra sider ligesom letmewatchthis. Oprindeligt ville det tage flere dage, men takket være threading kunne det ordnes på lidt under en times tid (Der var heldigvis ingen IDS eller anden beskyttelse, og jeg havde en gigabit server).

Threading

(04-09-2014, 18:19)Doctor Blue Skrev: Heller ikke underligt i betragtning af at han bruger en ekstern betalings-gateway der godt kunne se ud til at hænge sammen med hans hosting plan.

Har godt nok ikke noget med sagen at gøre, men et af landets største betalingsgateways er sårbar overfor en rigtig dum fejl, der resulterer i root adgang uden man har specielt meget styr på hvad man laver.

(04-09-2014, 18:27)BaltoZ|-|aar Skrev: Har godt nok ikke noget med sagen at gøre, men et af landets største betalingsgateways er sårbar overfor en rigtig dum fejl, der resulterer i root adgang uden man har specielt meget styr på hvad man laver.

Nu skal vi også lige huske på at det er Danmark vi taler om. Det er relativt godt klaret, ikk? ;)

(04-09-2014, 18:28)Doctor Blue Skrev: Nu skal vi også lige huske på at det er Danmark vi taler om. Det er relativt godt klaret, ikk? ;)

:D

Synes faktisk vi i Danmark er okay godt med når det kommer til sikkerheden i kritiske web apps - Så længe der altså har været god kapital under udviklingsforløbet.
Dog er de fleste af de fejl jeg finder, også de samme jeg fandt for 10 år siden. :P

Er det muligt at tilføje i scriptet, så det også ser de ekstra reklame film der er med det nye "Tjen Mere" koncept.

Hvis der er 4 film om dagen, så er det en god ekstra bonus. Knap 100 kr ekstra om uge for mit vedkommende.