TUServerMU

MuOnline => Soporte / Ayudas => Tema comenzado por: Hoxter on November 05, 2017, 07:26:42 PM

Titulo: bug inyeccion webengine
Posteado por: Hoxter on November 05, 2017, 07:26:42 PM
(https://i.imgur.com/3LSKbyA.png)


(https://i.imgur.com/TJXy0Nj.png)

Me hackearon mi webengine, el hacker me envio esta imagen, por favor necesito ayuda, me borraron toda mi base de datos.

Si alguien conoce algun link para visualizar archivos .json :(

 :( :( :( :(
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: Odisk on November 05, 2017, 07:37:42 PM
te recomiendo que uses otra web. asi sea mucore o mvcore....

tenias respaldo de la base datos ?
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: Hoxter on November 05, 2017, 07:47:10 PM
No men no tengo backup de nada, es un puto hacker que sabe mucho
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: SChymare on November 05, 2017, 09:58:47 PM
revisa el archivo .htaccess
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: EmmaDCG on November 06, 2017, 08:27:20 AM
No men no tengo backup de nada, es un puto hacker que sabe mucho

estas usando Webhosting o la tienes instalada en el VPS/PCHost??
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: Lautaro on November 06, 2017, 10:36:10 PM
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Titulo: Re: bug inyeccion webengine
Posteado por: Hoxter on November 07, 2017, 12:50:21 PM
Men no subi ningun archivo, estan usando una web remota para ver archivos .json, protegidos con .htaccess   :(
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: pquintal on November 07, 2017, 12:52:14 PM
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: caron22 on November 07, 2017, 02:13:44 PM
No men no tengo backup de nada, es un puto hacker que sabe mucho
Por mas que sepa mucho poco o nada la responsavilidad del backup diario es tuya.
Te recomiendo que cambies de web y que implementes un sistema de backup que te suba a un ftp diariamente los backups.

Para mi esa es tu web, usas https? porque veo que posiblemente te lograron subir un shell
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: caron22 on November 07, 2017, 02:26:31 PM
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite

No veo indicios de que se use una web remota.  Aguardo tus fundamentos de la web remota.
Titulo: Re: BUG INYECCION WEBENGINE
Posteado por: pquintal on November 07, 2017, 06:19:07 PM
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro
Hola Hoxter,

Soy el desarrollador de WebEngine. Me enviaron un link a tu publicación y me interesa indagar más en lo sucedido. Por default, todos los datos que son recibidos por el usuario son intensivamente filtrados por la web, esto, para prevenir que alguien trate de enviar información que “rompa” el código de la página web, haciendo posible una inyección u obteniendo acceso a áreas restringidas.

Por lo que puedo ver en las imágenes que subiste es que la información del archivo “webengine.json” está siendo visualizada desde “process.php” en el directorio base. WebEngine actualmente no cuenta con ningún archivo llamada “proccess.php”, lo cual sugiere que pueden ser las siguientes opciones:

(1)   El hacker ha podido subir “process.php” a tu sistema de archivos teniendo acceso al panel de control de tu web hosting / vps.
(2)   Hospedas otros sistemas web aparte de WebEngine en tu página y tienen alguna vulnerabilidad que permite al hacker subir el archivo “process.php”.

Por el momento es imposible subir un archivo a la web a través de WebEngine, asi que me inclino a que el problema sea que el hacker haya obtenido acceso a tu panel de control del web hosting o, si es que estas utilizando otros sistemas web  -por ejemplo un webshop u otra web que no es WebEngine-, es posible que estos sean los cuales tienen dicha vulnerabilidad.

Recomendación:
Ingresa al GitHub oficial de WebEngine y compara los archivos de tu web con los originales. Esto te permitirá saber con que archivos adicionales –no oficiales- cuenta tu página. https://github.com/lautaroangelico/WebEngine

El tema de la seguridad en WebEngine es lo principal, si existe dicha vulnerabilidad en el CMS como se reporta aquí, será parcheado inmediatamente. Habiendo dicho todo lo anterior y viendo la información de tu reporte, puedo asegurar que actualmente no existe vulnerabilidad de inyección SQL en el CMS.

P.D. No reviso este foro, si gustan ponerse en contacto conmigo pueden hacerlo por los medios oficiales de WebEngine.

Saludos,
Lautaro

parece que no entendistes la imagen que esta mostrando que usan una web remota para ver archivos de extecion json que esta vulnerando el .htacces por que si tratas de visualizar directo por la ruta no permite el htacces pero usando esa web remota si lo permite

No veo indicios de que se use una web remota.  Aguardo tus fundamentos de la web remota.

fundamento no ves que te esta mostrando la web remota  y la direcion url de el despues del que ase que permita ver el contenido su web es mu-raies.ml
Titulo: Re: bug inyeccion webengine
Posteado por: conejowolf on November 07, 2017, 10:38:11 PM
En serio los dos unicos "programadores" que comentaron este thread no se dieron cuenta que se usa una web remota para leer el .json y los que no somos programadores si nos dimos cuenta?
¡ Que barbaridad !

Fijense, que el muchacho "hacker" tapa la url de la direccion remota, la cual está usando para mirar el .json de la web mu-aries.ml
Titulo: Re: bug inyeccion webengine
Posteado por: splound on November 08, 2017, 12:12:42 AM
Cuando abriste el puerto 1433 para conectarte remotamente a el SQL Server lo restringiste para que solo pudiera escuchar la ip del hosting ? En caso de que sea afirmativo el individuo(hacker) que te hackeo la base de datos es cliente del mismo hosting que tú en caso contrario pongase a leer y ver tutoriales de administracion de servidores. Lo recomendable seria alquilar un VPS y configurarlo para que sirvas tu pagina (solamente la pagina) desde alli. Asi el atacante tenga el ip,usuario y contraseña de tu sql al tener restringida la conexion de tu sql server este no se podra conectar y no podra hacerte daño. Siempre es bueno estudiar y analizar un poco con lo que estamos trabajando pero la mayoria estan acostumbrados a que le den todo gratis, files, antihack, web, etc.
Titulo: Re: bug inyeccion webengine
Posteado por: biaku on November 08, 2017, 12:52:44 AM
En serio los dos unicos "programadores" que comentaron este thread no se dieron cuenta que se usa una web remota para leer el .json y los que no somos programadores si nos dimos cuenta?
¡ Que barbaridad !

Fijense, que el muchacho "hacker" tapa la url de la direccion remota, la cual está usando para mirar el .json de la web mu-aries.ml

entonces "hackearlo" utilizando Cross-site scripting
Titulo: Re: bug inyeccion webengine
Posteado por: RoldanHost on November 08, 2017, 03:05:46 AM
Bueno estimados, les comento lo siguiente.

La vulnerabilidad parte desde los WebHosting, ya que la mayoria solo funcionan con HTTP/1.1. Lo que hacen estas personas es navegar en un proxy con http/2 el cual si el cpanel de sus webhost no lo tienen activado, pues el .htaccess no sirve de nada dejando vulnerable la pagina.

Osea que si alguien navega bajo http2 los permisos asignados bajo HTTP/1.0 y HTTP/1.1  que tiene el htacces no tiene efecto sobre htt2 HTTP/2.0.

Hacen peticiones GETS (No GET), ejemplo:



Citar
tsavo:~ mcd$ telnet devel.mia 80
Trying x.x.x.x...
Connected to xxxxxxx.xxx.
Escape character is '^]'.
GETS /htpasstest/ HTTP/1.0

HTTP/1.1 501 Method Not Implemented
Date: Fri, 10 Dec 2010 21:53:58 GMT
Server: Apache
Allow: GET,HEAD,POST,OPTIONS,TRACE
Vary: Accept-Encoding
Content-Length: 227
Connection: close
Content-Type: text/html; charset=iso-8859-1




1.2.3.4 - - [07 / Nov / 2017: 22: 15: 41 -0500] "GETS /admin/index.php HTTP / 1.1" 200 3505 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "
1.2.3.4 - - [07 / Nov / 2017: 22: 17: 09 -0500] "GETS /admin/usermanagement.php HTTP / 1.1" 200 99320 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "
1.2.3.4 - - [07 / Nov / 2017: 22: 18: 05 -0500] "GETS /admin/index.php HTTP / 1.1" 200 3510 "-" "Mozilla / 5.0 (Windows; U; Windows NT 6.1; en-US; rv: 1.9.2.12) Gecko / 20101026 Firefox / 3.6.12 "



-----------------------------------------------------------------------------------------

¿Solucion?

CPanel esta actualizando a HTTP/2. Deben avisar a los de su host que deben activar este modulo que cpanel ya lo tiene.

(https://image.prntscr.com/image/eXKmsjL9QiClT8IwFO1kmA.png)


Como bypassean el htaccess, pueden inyectar... pude comprobar que hacen pruebas en el cron.php y luego aparecen en el admincp..... de alguna forma logran entrar al admincp y desde ahi hacen inyecciones.

(https://image.prntscr.com/image/FOCNR6qdS-O6M4RzPdPU2A.png)

(https://image.prntscr.com/image/3cmhYBarQOKRi7w-RzZweg.png)

Titulo: Re: bug inyeccion webengine
Posteado por: Lautaro on November 09, 2017, 12:52:42 AM
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.
Titulo: Re: bug inyeccion webengine
Posteado por: pquintal on November 09, 2017, 07:18:23 AM
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre. pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

NOTA:problema de .htacces sin privilegiosen http2 no es problema de configuracion usario en cpanel es error de cpanel su ultima actualizacion ya esta reportado esperar que cpanel fixee en su proximo update o  los dueños de los host cambien manual mente los permisos con usuario root
Titulo: Re: bug inyeccion webengine
Posteado por: Aяcαиgєℓ on November 09, 2017, 09:07:34 AM
Si no configuraste correctamente Apache para que funcionaran los .htaccess entonces no es una vulnerabilidad de WebEngine.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.
Titulo: Re: bug inyeccion webengine
Posteado por: Lautaro on November 11, 2017, 03:17:34 PM
pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

Sin prueba de que esto es posible no me dejas darte el beneficio de la duda, un comentario asi sin fundamentos no sirve de nada.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.

Me vas a decir que entonces XenForo, que usa .htaccess para restringir el acceso a directorios privados, es tambien un sistema vulnerable?

La configuracion apropiada de los .htaccess es algo basico que cualquier administrador web debe saber hacer, si no pueden hacer eso (o al menos testear que esten funcionando correctamente) entonces les recomiendo que busquen a aguien que los ayude con la administracion de su web, o que simplemente se asesoren antes de lanzar una web en produccion.

¿Entiende? Si este guardia no está su base es sujeto ataques.

El "guardia" lo pone el administrador web, si como administrador no puedes ver que no tienes a tu guardia protegiendote entonces porvafor dale tu tarea a alguien mas.
Titulo: Re: bug inyeccion webengine
Posteado por: conejowolf on November 11, 2017, 05:26:30 PM
pero hay otro bug mas grabe se puede usar acceder al admincp usando cokies de la web y la forma de aser la injecion es por el admincp formulario de character

Sin prueba de que esto es posible no me dejas darte el beneficio de la duda, un comentario asi sin fundamentos no sirve de nada.

no tiene nada que ver con la configuracion ya la probe en hosting logicamente con navegador proxy con http2 el .htacces se queda sin privilegios y pasa a aser un archivo mas y deja visualizar los archivos una solucion seria poner un index en blanco en las sub carpetas para que no deje ver contenido y cambiar el webengine.json con otro nombre.

Si usas .htaccess para proteger y entre otras, entonces si es vulnerable la web saco wea...
Lo mismo que tener un guardia que te protege, pero la base es vulnerable... ¿Entiende? Si este guardia no está su base es sujeto ataques.

Saco wea.

Me vas a decir que entonces XenForo, que usa .htaccess para restringir el acceso a directorios privados, es tambien un sistema vulnerable?

La configuracion apropiada de los .htaccess es algo basico que cualquier administrador web debe saber hacer, si no pueden hacer eso (o al menos testear que esten funcionando correctamente) entonces les recomiendo que busquen a aguien que los ayude con la administracion de su web, o que simplemente se asesoren antes de lanzar una web en produccion.

¿Entiende? Si este guardia no está su base es sujeto ataques.

El "guardia" lo pone el administrador web, si como administrador no puedes ver que no tienes a tu guardia protegiendote entonces porvafor dale tu tarea a alguien mas.

Lautaro no se para que te molestas en responderle a alguien que te dice "saco wea" y a alguien que escribe "aser" en vez de hacer, dos veces...

Esta mas que claro que el problema es del hosting, y no de la web engine, si fuera de la web engine habrian miles de servers hackeados, como lo fue cuando usaban la web kchorro o la muweb q ambas no tenian proteccipn contra injection sql, pero en este caso es problema del hosting del muchacho, no de la web.

De todos modos te repito, no se porque te molestas en responderle a gente q te falta el respeto..
Titulo: Re: bug inyeccion webengine
Posteado por: RoldanHost on November 11, 2017, 05:32:12 PM
Lo del admincp esta comprobado, entran mediante cookies como antiguamente hacían con mucore. Sinceramente no se como es el metodo pero pude ver como entraban y hacen la inyección mediante character/search.
Titulo: Re: bug inyeccion webengine
Posteado por: conchetumare on November 11, 2017, 05:46:02 PM
y es por eso que debes hacer tu web tu mismo desde cero
Titulo: Re: bug inyeccion webengine
Posteado por: jasantaella96 on November 11, 2017, 06:31:26 PM
y es por eso que debes hacer tu web tu mismo desde cero

no todo el mundo tiene el conocimiento y el tiempo para hacerlo
Titulo: Re: bug inyeccion webengine
Posteado por: Lautaro on November 11, 2017, 07:57:14 PM
Lo del admincp esta comprobado, entran mediante cookies como antiguamente hacían con mucore. Sinceramente no se como es el metodo pero pude ver como entraban y hacen la inyección mediante character/search.

Nuevamente, si no me dan pruebas no sirve de nada estar diciendo cosas sin fundamentos.

WebEngine no usa COOKIES!
Titulo: Re: bug inyeccion webengine
Posteado por: ✬SOИY✬ on November 11, 2017, 08:09:50 PM
Lo del admincp esta comprobado, entran mediante cookies como antiguamente hacían con mucore. Sinceramente no se como es el metodo pero pude ver como entraban y hacen la inyección mediante character/search.

Nuevamente, si no me dan pruebas no sirve de nada estar diciendo cosas sin fundamentos.

WebEngine no usa COOKIES!
coincido con tigo @Lautaro con faltas de pruebas en difícil creer algo así primo tenes que tener una base @RoldanHost y publicar algo o advertir algo por simples rumores
Titulo: Re: bug inyeccion webengine
Posteado por: RoldanHost on November 12, 2017, 05:13:47 PM
Entonces pido las disculpas correspondientes, pero si efectivamente entran de alguna forma al admincp y hacen la inyección mediante esa forma, de hecho cambie todas las rutas del admincp, webengine.json, etc y  no pudieron inyectar mas. Por otro lado en las imagenes que publique en la primera pagina, ahi muestra que entraron a la ruta del admincp bajo un proxy html2. ¿Como lo hicieron? No lo se y disculpen por especular lo de las coockies pero así fue como lo hacían por mucore antes y lo dije como una afirmación en vez de una posibilidad. Pero lo que si estoy seguro es de que de algún modo están pudiendo entrar al admincp.
Titulo: Re: bug inyeccion webengine
Posteado por: Aяcαиgєℓ on November 14, 2017, 08:32:09 PM
Lo del admincp esta comprobado, entran mediante cookies como antiguamente hacían con mucore. Sinceramente no se como es el metodo pero pude ver como entraban y hacen la inyección mediante character/search.

Nuevamente, si no me dan pruebas no sirve de nada estar diciendo cosas sin fundamentos.

WebEngine no usa COOKIES!

Monta tu web en un hostin (con db o sin ella) sin cloudflare, usa modsecure si quieres y atacare remotamente según el testimonio del dueño de este tema, los ataques más comunes serán ejecutados de forma simultáneamente así que no me limites este tipo de conexión. Usaré VPN si usas un proveedor hostin que son estrictamente en denunciar (en este caso no lo haré), en todo caso si son revendedores son una cagada.

Y conejo, haga silencio si nadie pidió tu opinión.
Disculpe Lautaro si fui duro anteriormente.
Hago esto para ayudar, no por apoyar al dueño y la web de este.
Titulo: Re: bug inyeccion webengine
Posteado por: conejowolf on November 14, 2017, 09:46:47 PM
Lo del admincp esta comprobado, entran mediante cookies como antiguamente hacían con mucore. Sinceramente no se como es el metodo pero pude ver como entraban y hacen la inyección mediante character/search.

Nuevamente, si no me dan pruebas no sirve de nada estar diciendo cosas sin fundamentos.

WebEngine no usa COOKIES!

Monta tu web en un hostin (con db o sin ella) sin cloudflare, usa modsecure si quieres y atacare remotamente según el testimonio del dueño de este tema, los ataques más comunes serán ejecutados de forma simultáneamente así que no me limites este tipo de conexión. Usaré VPN si usas un proveedor hostin que son estrictamente en denunciar (en este caso no lo haré), en todo caso si son revendedores son una cagada.

Y conejo, haga silencio si nadie pidió tu opinión.
Disculpe Lautaro si fui duro anteriormente.
Hago esto para ayudar, no por apoyar al dueño y la web de este.
Amigo le recomiendo que primero aprenda el lenguaje español o castellano y luego se haga el hacker.
Ah por cierto, se escribe hosting con G al final.
Titulo: Re: bug inyeccion webengine
Posteado por: Aяcαиgєℓ on November 15, 2017, 04:59:19 AM
Oye conejo te voy a decir algo sencillo:

1- No me sorprende que usted no me entienda porque yo escribo y si falta algo es por la tecla del celular que no escribe.
2- No soy tu amigo.
3- Si fuera hacker de verdad (yo),  no andaría diciendo tonterías, no atacó porqué quiero, sino ayudo a los demás. Soy del bien, no del mal (aprenda a diferenciar).
4- Gracias por la corrección de hostin(g).
5- Por favor, ahora que sabe de mi un poco, preocúpese por sus clientes y haga bien su trabajo (con buena intención).

Conozco gente de aquí que se hacen los graciosos y burlones, ya pase esto antes (2% me conocen de verdad en toda la comunidad Mu Online) y parece que esta sucediendo en el presente ja.
:)
Titulo: Re: bug inyeccion webengine
Posteado por: ZabiinoOo on November 15, 2017, 09:55:01 AM
Cierro tema por desvirtuó y generar discusión, si quieren reportar una falla en dicha cms pueden abrir un nuevo tema con las especificaciones necesarias para presentar el fallo y la tecnica con la cual se hace uso de la vulnerabilidad para que @Lautaro autor de la cms pueda corregir, con esto evitamos que se creen polemicas cuando el autor de dicha cms vino a ayudar al creador del tema, saludos!!