poste.dz,is it 0wned?
Hi Everybody !
My Brother Str0xo has hacked
the Shit of poste.dz
Congratulation !!!!!
- Commentaire
- Reblog
-
Souscrire
Abonné
Vous disposez déjà dʼun compte WordPress ? Connectez-vous maintenant.
IncLudEr's BloG 
bien fait
Nice one Str0xo and thx for sharing this news my bro
Quant a XSS, voici un exemple qui peut faire beaucoup de tort (on peut subtiliser des mots de passe avec) sur le site de Djezzy:
juste allez a http://www.djezzygsm.com et dans le champ de recherche mettre ceci :
Vous obtiendrez une page semblable a celle qui permet de se connecter a IMTIYAZ imtiyaz.djezzygsm.com/Login.aspx sauf que c’est une copie sur un autre serveur, éssayez un numeros et un mot de passe et vous les verrez affichés, ce qui veut dire qu’on peut tout a fait les subtiliser 😦 avec un peu de social engennering
The important thing is to find the Bug,
not to deface the crap,
you can make a partner or a section in the blog about the loopholes/bugs that you found
at the algeria sites and found what is the problem that he has made this mistake/error
and how secure it, it will be well 🙂
I like this blog too but it takes just a small update, it will be good
u need a change properly installed, and then i don’t see is what the language installed on the site, ‘ENG/AR/FR’
And the defacing is for noobs and lamerz, everyone knew it and the problem that defacers they have not understood . . .
and if you really want to start, you can try to find exploits in the site Elkhabar.com, it is full of exploits, each person adds a loophole, or rather several flaws
All my respect.
/0xbadfacex :d
@hanz : C’est pour str0xo mon frero.
@His0k4: You’re welcome Bro.
@badrh0 : merci frero pour le bug mais moi j’aime pas defacer les sites Algeriens …. il y on a plein de sites etranger pourquoi defacer notre sites ????!!! je prefere leur dire que defacer leur site mais attention je suis pas un White Hat ! 😉
@0xbadfacex:Welcome bro, a good idea but.. there are some newbies and some kids will just take the bug & deface the site this what I want not :s ; Elkhabar.com is just a Mine of bugs :d, i sent an E-mail before 5 months to tell them about an exploit in PhpNuke I got the login & the pass (i could decrypt it !:))
& that’s all.
Peaaaaaaaaaaaaaaaaace
& bonne continuation pour noTrE Ami InClud3R
Djezzy 😉 Resource Name: http://websms.djezzygsm.com/index.php
Resource Type: IE: AutoComplete
User Name : 0777428051
Password : QFEITW5
Resource Name: http://websms.djezzygsm.com/
Resource Type: IE: AutoComplete
User Name : 0774835804
Password : clevere
Resource Name: http://websms.djezzygsm.com/
Resource Type: IE: AutoComplete
User Name : 0770607977
Password : jf1hxyv
AlGeria Dz Hackers Mother ****************
ce sont quoi les types de faille?
Salem,
Je veux savoir exactement comment il a été attaqué, Je veux dire tous les noms de ces « bugs » qu’il sont utilisé , Et quels sont tous les failles qui sont vulnérables dans le site.
/Izem
@dadyliquide: Thank’s Bro for posting, but PLEASE no more acounts in djezzy 😉
@Izem : salem frero , je savais ou est la faille , je vais te la passer mais je sais pas , cherche … :D, moi j’ai trouvé un lfi a poste.dz & djaweb.dz mais je peux rien faire 🙂 peut etre je les envois un e-mail pour avertir, peut etre …
My Regards, IncLudEr
« Biçmi-Llêh Er-Rahmêne Er-Rahîm »
Euuh, frère Izem Salut, je suis très heureux de t’avoir ici … 🙂 portant les scripts-kidiz … XD, comme vous parler français bien que, malgré que le blog est en anglais, je fait la même chose que vous. .. Et tous mes respects pour les autres et je dis « salam » a l’administrateur « includ3r » et sans oublié « his0k4 » . . . j’ai fait un petit teste , je demarre lolz .
[1] : Une faille de type CSS/XSS dans le path « ?page=l’XSS »
Faut juste de codé une petite Worm XSS en js « Session Hijacking >> clients »
[2] : Une faille de type File Disclosure Vulnerabilities a l’URL « »?page=../../../../../../../etc/passwd%00″ »
[3] : Une faille Common Vulnerability Exposure a l’URL « http://80.249.65.16/.bash_history »
Les commandes dans le historique de shell/konsol
problème dans le serveur Web qui permettent aux es utilisateurs distants non autorisés à voler des documents confidentiels ou obtenir de l’information sr le serveur Web de la machine hôte.
[4] : Une faille a le PHP prior 5.0.2 rfc1867.c File Upload
Le système distant est en cours d’exécution d’un serveur Web avec PHP 5.0.2 avant.
Ces anciennes versions sont vulnérables à une vulnérabilité non spécifiée dans rfc1867.c
qui pourrait permettre à un attaquant distant de télécharger des fichiers.
[5] : Deux failles a propos le Htaccess
Le htaccess gère plus de chose, les droits d’accès à des fichiers, les config php dans un répertoire donné, plein de trucs, plein 🙂
– J’utilise mes priv8 programmes en python pour accédé a leur backup/mysql par bypassé le htaccess
[6] : j’ai remarqué Une faille/erreur JavaScript
Le code utilise une inclusion de certains .JS dans certains repertoires , Le fichier appartient à un autre script qui sert leur Intranet pour éditer les fichies en local
[7] : Une faille via les fichies de backups .BAK
l’insécurité de Htaccess elle nous permis de telecharger les fichiers de backups avec l’exstention « xxx.php.bak » presque tout les fichiers que on peut les telechargés . . . ET puis . . .
E.g : /conf.php.bak
E.g : http://80.249.65.16/common/intranet_functions.php.bak
Note : le script utilisé en poste.dz c’est codé par « Biunet.com »
preuve : http://80.249.65.16/styles/biunet.css
Biunet.com : editeur de logiciels de knowledge management algérien, biunet est spécialisé dans les solutions intranet, portails d’entreprises, ecm, travail collaboratif … 🙂
[8] : Une faille via Databases XML
[9] : Une faille via le CRM
CRM c’est un programme de gestion de la relation client ou bien une service à la clientèle pour les Intranet ,Ils couvrent ces programmes plusieurs aspects de leur travail et de la vente, de marketing et de vente de services par un certain nombre de programme tels que (TeleService , TeleSales , TeleMarketing , Service Contracts , Field Sales , Field Service , Scripting , Customers Online) Et bien d’autres programmes, que ce soit de base ou complémentaire , la derniere version est toujours « Microsoft Dynamique CRM 3.0 »
il est utilisé en Intranet parce que il contient des informations confidentielle (téléphones,adresses,comptes) sont raccordé par une base du donné compatible par certaine types SQL , il est installé au Algérie Poste/télécom par exemple et puis il est vulnérables par plusieurs failles de sécurité comme l’insécurité de Htaccess pour les fichiers/dossiers installé, l’extention de fichies DB sont en « HTC »
Banque de données C & HTC – DATA = C & HTC – DATA DB , le faite si on peut lire les fichiers de la BDD donc c’est une grave faille xD . . .
[10] : Une blind SQL via l’intranet en « POST »
ça fait un moment que j’ai la trouvé . . . mtn le server et down/hors ligne.
/SysFichierOutput.php?internet=1&ObjName=Sys.SysFichier&Selected=Id_SysFichier:47cac48f8c4fe3.86190808’or%20isnull(1/0)/*&Apercu=0&IgnoreDownload=1
Note : DSL j’ai pas trouvé trop de failles a cause que je suis pas intéressé a le site mais j’ai des trucs très important que joué le rôle d’un enfant et peut etre je vais essayé pour le « ccp.poste.dz ». euuuuuuuh tout mes respects , sinon « ++ »
/cO2 with grey hat
“Biçmi-Llêh Er-Rahmêne Er-Rahîm”
ah mon frere cO2 vraiment je suis tres content de te voir içi 😀
$blog = melange(ang+fra+ara); # looool
lolz 10 Exploits !!!!! vraiment c’est …. (je prefere de ne pas parler ah les webmasters !!)
merci bcp pour ton poste frero
P.S.:Everyone here is GreyHat :p:p 😉
MyRegards IncLudEr
haaaywa mr cO2 tu veux dire que tu peux rentre toi Aussi ?
Bonsoir tout le monde,
Merci aussi pour vos intérêts vers ce sujet, pour monsieur Kevin Mitnick le surnommé ///? , nous les arabes on a toujours des critiques, enfin le proverbe » Lorsqu’on réalise ils nous critiquent »
Kevin ca été si facile de dire tout les exploits et de les poster sur cette fameuse page ?
J’espère que vous pouvez nous faire du pratique Hmm ?
On parle peu, on travail beaucoup
Faite nous ce que tu viens d’écrire car un teste y’as pas mieux
Bonne chance les amis
Merci His0k4 pour ce COMMENTAIRE et même l’administrateur de ce blog *includ3r* & tt les amis
Salut tout le monde,
Wé ! je me présente ! bmy4Ce Un Algérien Programmer ……./*
frère includ3r Merci pour qui nous as groupé Article Et je trouve ton Blog trop cool 😉
##
@aDyLiQuiDe: petite remarque pour ton texte « C’est un logo d’un Kylogger d’un trojen » 😉
@cO2 : Salut !! frère ! Je Croi que ta changer le Style totalement =) ça vas être Cooool :-\
@str0xo : Troooooop bien frère Et en publique Merci trop pour votre aides
//J’espère que vous pouvez nous faire du pratique Hmm ? ta eur pour ce la !
|bmy4Ce|
Salam Tout le monde,
& aprés j’était vraiment occupé toute cette periode là 😦
frero str0xo : tu es mon frere & ça c’est rien [You’re welcome];
bmy4Ce : Welcome bro le blog est pour tous les arabes [Specialement les Algeriens];
Good Luck ;=>