Portada
Hace 5 meses | Por Rarul_Urral_Rul... a farlopa.noblogs.org
Publicado hace 5 meses por Rarul_Urral_Rular a farlopa.noblogs.org
Alguien ha hackeado todas las páginas de CCOO. Llevan así todo el día

Alguien ha hackeado todas las páginas de CCOO. Llevan así todo el día

 farlopa.noblogs.org

Alguien se ha cargado todas las páginas de CCOO. Llevan así todo el día.

Etiquetas

DE3C548D-E347-406A-A60F-E6BBD322CAB7 7.8k 44

Comentarios

insulabarataria
editado

Lo mejor de todo es que te muestra el proceso que ha seguido como si fuera un manual guía-burros. Mola

V 20
K 160
Sir

#3 ha puesto hasta las contraseñas de algunas bases de datos de ccoo en los pantallazos... imagino eso es para que se aseguren que las cambien lol

V 3
K 28
torkato

#3 Nunca se deja de aprender. Me ha resultado muy didáctico y te enseña cosas que puedes proteger si estás en situación parecida.

V 0
K 10
Golan_Trevize

balla balla, guardaban archivos en texto plano cuyo nombre era el DNI de los afiliados/usuarios (?), y que contenían todo tipo de información personal de los mismos.
Un 10 a los genios en seguridad que pergeñaron semejante diseño.

V 9
K 83
neotobarra2
editado

#14 archivos en texto plano cuyo nombre era el DNI de los afiliados/usuarios (?), y que contenían todo tipo de información personal de los mismos.

Si lo he entendido bien, el archivo del que habla cuando comenta lo del texto plano lo ha creado él mismo haciendo un dump de la BBDD. Los archivos con nombre DNI de los afiliados parecen ser imágenes (pero él ha usado ese cargador para subir el suyo manipulado) así que seguramente son DNIs escaneados o similares, cosa que coincide con lo que se ve en las capturas del formulario. Lo que está en texto plano es la contraseña de root en la BBDD. Al hacer un dump de la misma a un fichero es cuando lee su contenido.

No sé, me da que uno de los dos no lo ha entendido bien, porque lo que leo en tu comentario no es para nada lo que he entendido leyendo el artículo...

V 4
K 36
Golan_Trevize

#27 Tendrás razón. Lo he leído en diagonal para meterle caña a los desarrolladores de esa página...

V 1
K 20
b

#28 Yo lo he entendido igual que tú la verdad.

V 0
K 9
Acido
editado

#27
El texto del meneo dice:

"Investigando el código del formulario de afiliación he visto que en algún lugar hay un cargador de archivos que almacena las subidas en /usr/paginas/v5.file/cms/ con el DNI del usuario como nombre del archivo."


Esto lo dice mucho antes de hablar de la base de datos.

Lo que no dice el meneo es qué ficheros subían los usuarios. Dice que se pueden subir ficheros como PDF, Word, imágenes... Podría ser cualquier cosa: datos personales o no tan personales... Por ejemplo, si el DNI del usuario era 1234F y se subía una imagen del DNI escaneado pues el fichero guardado en el servidor sería D1234F.jpg o bien algún número detrás, en plan D1234F2.jpg si era el segundo fichero de ese usuario.

Aunque se pueden guardar ficheros en una base de datos, creo que es bastante "normal" / habitual guardarlos en un directorio. Obviamente lo de guardarlos en Base de Datos tiene la ventaja de no poder hacer este tipo de ataque: no está en el filesystem y por tanto no se podría ejecutar algo que subas. Otra ventaja es que si tienes un administrador del Linux no podría ver esos ficheros si no tiene la clave de la base de datos... Pero puede haber alguna desventaja si el programa de la web se hizo de forma descuidada permitiendo consultar la Base de Datos, que pueden ser imágenes muy personales y comprometidas.

Ahora bien, lo de usar el DNI como clave diferenciadora de los ficheros creo que es una mala práctica.
Lo suyo es que las claves primarias no tengan significado (usuario 1, 2, 3) y ese número asignado no sabe el usuario cuál es, no sabe si es el 1337 o el usuario número 5006... Por tanto, el atacante no sabría el nombre del fichero para poder ejecutarlo.
Aunque también es cierto que si la clave primaria es arbitraria y sin significado tampoco debería ir en nombres de fichero... creo que sería mejor usar un hash del DNI o algo así.

El saber el nombre del fichero y la ruta (carpeta) donde se guarda le facilitó escribir el comando que ejecuta ese fichero que ha escrito y subido él.

En cuanto al dump de la Base de Datos, sí es lo que le permitió sacar datos más delicados, como la contraseña de root.

Cc: #14

V 1
K 24
yemeth

Joder lo de sacar cualquier fichero con el nombre del fichero como parámetro haciendo ../../.,/../, vaya manera de empezar. La típica mierda que ves en los logs y te preguntas para qué lo prueba nadie, con lo borrico que hay que ser para que eso sea vulnerable lol lol lol

PD: Fast-forward de boquiabierto en boquiabierto hasta la clave de root sin cifrar en la base de datos, dios santo...

V 7
K 73
Rarul_Urral_Rular
autor

Al principio, ofrecían este pantallazo.

comment_39724368 media
V 8
K 73
painful

#1 Ahora eres el principal sospechoso.

V 9
K 100
Rarul_Urral_Rular
autor

#2 Lo que explica el fulano es poesía sánscrita para mí.

V 13
K 130
El_perro_verde

#7 es como leer un libro de hechizos

V 3
K 35
ochoceros

#2 Y viendo ese logo...

- Alvise has joined the chat.

CC/ #1

V 9
K 79
Kleshk

#10 farlopa y ardillas… no me jodas, es Alvise seguro, son aus gustos

V 5
K 58
t

#1 Podían haber puesto una gamba.

V 2
K 20
a

#1 A ver si la CGT se corta un poco...

V 1
K 14
Marco_Pagot

#0 arregla esos hashtags porque te lo pueden tumbar

V 1
K 25
danip3

#20 lol Están los sociópatas seniles despiertos?

V 0
K 7
Rarul_Urral_Rular
autor

#20 No tengo ni idea de como hacerlo, pero gracias por el aviso.

V 0
K 15
e

Nos reímos con las mariscadas pero lo cierto es que son unos indeseables.  Tragan del dinero público y  de hacerles la pelota a los poderosos.   ¿Cómo se puede llamar a esto un sindicato?   Es un cáncer más que padecemos Señores. 

V 6
K 24
a

#22 La CGT recibe el mismo dinero publico, son ellos unos indeseables vendidos?

V 0
K 7
Malinois

Tampoco se nota mucho la diferencia,con la mierda que era...

V 1
K 20
p

#32 Un sindicado con becarios, eso tiene que ser gracioso.

V 1
K 17
Superaudion

#33 Los tienen, los tienen.

V 1
K 19
ElChepas

Quién hackea a un marisquero, 100 años de mariscadas

V 1
K 16
DonaldTrump

Es un autohackeo, cualquier cosa que les dé excusas para no trabajar.

V 0
K 10
keylogger

Pero al final ha conseguido la flag o no?

V 0
K 9
Candidatas
28
meneos
actualidad Juancar, otro policía infiltrado en los movimientos sociales de Madrid
39
meneos
actualidad DW - Rusia: ¿a punto de tomar Jarkov?
36
meneos
actualidad Japón cambiará ley para proteger a los trabajadores de los clientes
38
meneos
actualidad Rusia descubre las mayores reservas de petróleo del mundo en un lugar casi imposible de explotar
29
meneos
actualidad Al menos una docena de universidades españolas tiene relaciones con centros israelíes que apoyan la invasión de Gaza
57
meneos
actualidad El último graduado de la Universidad de Texas iza la bandera palestina y un funcionario le pide que se vaya, pero él se niega
29
meneos
actualidad Cae el tráfico de marfil de elefante y cuerno de rinoceronte
31
meneos
actualidad UB, UAB, Complutense de Madrid y la de Valencia, entre las 300 mejores universidades del mundo según el ranking CWUR
45
meneos
actualidad El senador Lindsey Graham sugiere usar la bomba atómica en Gaza: "Se hizo en Hiroshima y fue la decisión correcta"
27
meneos
actualidad Se inicia los trámites para que el Stanbrook vuelva a Alicante. Van a intentar recuperar el buque que rescató a más de 2.000 republicanos en el final de la Guerra Civil
19
meneos
actualidad Cientos de activistas climáticos asaltan la fábrica de Tesla en Alemania y logran paralizar su producción
29
meneos
actualidad Canadá practica la eutanasia a los pobres y discapacitados
Aiden_85

Alguien ha hackeado a alguien, alguien es un hackeador...

V 0
K 9
algonso
editado

CCOO siempre le da la razón al empresario. Lameculos

V 0
K 9
danip3
editado

Los sindicatos a sueldo del hijoputa.

V 3
K 8
ChatGPT
editado

Edit, parezco idiota

V 0
K 8
insulabarataria

#4 es el mismo enlace del meneo...

V 0
K 10
ChatGPT

#5 Yaya, pensaba que el meneo iba a la web de CCOO. Cosas de no leer los meneos.

V 1
K 20
Rarul_Urral_Rular
autor

#6 Las web de los cocorotos ofrecen ahora este panorama:

comment_39724487 media
V 2
K 37
p

Ahora es cuando despiden al informático

V 0
K 7
m

#17 Hombre, en este caso...

V 1
K 16
p

#24
En este caso puede ser que lo hicieran asi por que no querían pagar mas y punto. Si pagas una mierda, tendrás una mierda.
Al final será amigo o familiar de alguien. Ya veras tu como el que pringa es el menos culpable suponiendo que alguien pringue por esto

V 3
K 33
m

#29 Por poder, pueden ser muchas cosas. Pero cagadas como las que menciona el artículo no son fruto de estar mal pagado. Y espérate que el "informático" sea informático...

V 2
K 20
El_perro_verde

#17 Al becario, que es el culpable siempre

V 0
K 7
Peka

#17 Pues curiosamente la página de tic funciona https://www.ccoo-servicios.es/tic/

V 0
K 13
c

#17 Hombre... deberían!!!
De todas formas das por sentado que tenían contratado a un informático. Pero más bien parece que tenían a algún cuñado. Y no hablemos del desarrollador... si es que el programador y el administrador son dos personas diferentes. 

V 0
K 6
B

Yo creo que la web de comisiones obreras (y la de la UGT) entrarían en crisis por el solo hecho de que alguien tratara de afiliarse. Un proceso tan infrecuente es lógico que esté poco testado, y de normal ya te de error.

V 0
K 6
e

Seguramente todavía no se hayan ni enterado

V 0
K 6