Červenec: prázdniny začaly, nám se stýská po škole

BugTrack

Červenec: prázdniny začaly, nám se stýská po škole#
Prázdniny sice teprve začaly, ale věřím, že se vám již mohlo začít stýskat po škole. Pokud byste se do ní i o prázdninách rádi podívali (když ne fyzicky, tak alespoň elektronicky), jak byste to udělali?

Vyhlašuji červenec měsícem školních zranitelností.
Nevkládejte, prosím, konkrétní hesla administrátorů a jiné přímo zneužitelné odkazy. Stačí se podělit o popis nedostatků, které se vám podařilo ve školních systémech odhalit.

Tak schválně... Jak je na tom naše školství se zabezpečením? Obstojí?

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP2.7.2013 10:40
re: Červenec: prázdniny začaly, nám se stýská po š#
Minimálně základní školy jsou na tom fakt skvěle. Až lituju, že už některou z nich nenavštěvuju. Dnešní žáci v nich totiž musí mít (aspoň podle webových prezentací) docela veselo.

Navštívil jsem seznam základních škol [link] a v rychlosti proběhnul první dvě stránky. A výsledek? Docela hrozivej:

Základní škola a Střední škola waldorfská, Semily [link] LFI
První soukromá základní škola v Hradci Králové, s.r.o. [link] SQLi
Základní škola Praha 4 - Michle, Bítovská [link] XSS
Základní škola Český Krumlov, Za Nádražím [link] SQLi, Redirect, XSS
Základní škola Petřiny - sever, Praha 6 - Veleslavín [link] perzistent XSS
Základní škola Olomouc, Mozartova 48 [link] SQLi, XSS
Základní škola Hronov-Velký Dřevíč,okres Náchod [link] XSS
Základní škola Pelhřimov, Krásovy domky [link] XSS
Park Lane International School [link] SQLi, XSS
Základní škola Emila Zátopka Zlín, příspěvková organizace [link] XSS
Kouzelné školy - mateřská škola a základní škola, š.p.o. [link] XSS, Redirect, SQLi
Základní škola Praha 7, Strossmayerovo nám. [link] XSS
Základní škola Kunratice, Praha 4, Předškolní [link] XSS
Základní škola Vokovice [link] XSS
Základní škola a mateřská škola Smolkova v Praze 12 [link] XSS, SQLi, Download
Základní škola, Tanvald, Údolí Kamenice [link] SQLi
Soukromá základní Škola Hrou, s.r.o. [link] XSS
Základní a mateřská škola Heřmánek Praha 9 [link] XSS

Možná je to ale způsobeno tím, že jde školám příkladem následující instituce:

Česká školní inspekce [link] SQLi

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP2.7.2013 20:03
re: Červenec: prázdniny začaly, nám se stýská po š#
A co tady? [link]
(odpovědět)
Baegus | E-mail | Website | ICQ 3392518082.7.2013 21:11
re: Červenec: prázdniny začaly, nám se stýská po š#
Třeba directory listing, nebo defaultní administrátorské přístupové údaje do jedné části webu.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP2.7.2013 21:48
re: Červenec: prázdniny začaly, nám se stýská po š#
Pokud pominu prázdinové pobavení, napadá mě jiné využití.

Vzhledem k tomu že si většina základek neplatí vlastní server a tak běží na sdíleném, společně s desítkami a někdy i stovkami jiných stránek, dal by se z toho sestavit slušný botnet :D

Stačí použít ten seznam co .cCuMiNn. uvádí a nějaký script na testování SQLi a máme tu desítky a stovky stránek zotročených třeba pro nějaký exploit kit.

Hehe...
(odpovědět)
Jelly | 188.126.69.*2.7.2013 22:58
re: Červenec: prázdniny začaly, nám se stýská po š#
Máš recht :) Klidně sepíši ten script..
Ale myslím,že nejspíš to bude jen ve směs pro pobavení..
(odpovědět)
Aloisík | 89.102.229.*3.7.2013 15:40
re: Červenec: prázdniny začaly, nám se stýská po š#
Je tu háček.. na většině stránek co sem se koukal, běží nějaký naprosto debilní CMS bez podpory nahrávání souborů..

No budu pokračovat :) Třeba sem jenom narazil na ty blbý :)
(odpovědět)
Jelly | 46.246.17.*12.7.2013 19:15
re: Červenec: prázdniny začaly, nám se stýská po š#
Výsledek otestování dalších několika základních škol se příliš neliší od první várky. Opět se nějaká ta zranitelnost projevila při rychlém průzkumu na cca 50% webů.

Základní škola, Hořice, Komenského [link] FPD
Základní škola s rozšířenou výukou jazyků Liberec, Husova [link] XSS
Základní škola Orlová-Lutyně U Kapličky 959 okres Karviná [link] XSS
Základní škola Litoměřice, Boženy Němcové [link] FPD
Základní škola, Ledce [link] XSS
Základní škola a mateřská škola Sněžné [link] SQLi, FPD
Základní škola, Klášterec nad Ohří [link] Defaultní heslo do administrace webkamery
Základní škola nám. Curieových, Praha 1 [link] XSS
Základní škola a Gymnázium, Praha 2, Ječná [link] Directory listing
Základní škola, Fakultní škola Pedagogické fakulty UK, Praha 2 [link] SQLi, XSS
Základní škola, Praha 2, Londýnská [link] XSS
Základní škola a mateřská škola, Praha 3, nám. Jiřího z Lobkovic [link] SQLi
Základní škola, Praha 3, Lupáčova [link] SQLi
Základní škola, Praha 3, Jeseniova [link] XSS
základní škola speciální a mateřská škola speciální Modrý klíč [link] XSS
Základní škola Kavčí hory [link] XSS, Directory liting
Základní škola speciální, Praha 4, Ružinovská [link] SQLi

Současně bych se tímto rád omluvil České školní inspekci za tvrzení, že jde školám zřejmě příkladem. V tu chvíli jsem totiž ještě nevěděl, že příkladem jim zřejmě jde mnohem výše postavená instituce: Ministerstvo školství, mládeže a tělovýchovy, které na svých webech [link] a [link] rozvněž hostuje nejednu SQL injekci.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.7.2013 17:58
re: Červenec: prázdniny začaly, nám se stýská po š#
otestujte pls i [link] chodim tam a zajímalo by mě jak maj zabezpečenej web :D
(odpovědět)
danyy | E-mail | Website3.7.2013 18:54
re: Červenec: prázdniny začaly, nám se stýská po š#
danyy: špatné... SQLi, XSS, Directory listing...

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.7.2013 19:01
re: Červenec: prázdniny začaly, nám se stýská po š#
Můžete skusit otestovat i tuhle [link] ? Chodil jsem tam kdysi.
(odpovědět)
AnonymniPan | 217.12.56.*3.7.2013 18:59
re: Červenec: prázdniny začaly, nám se stýská po š#
XSS,SQLi...
(odpovědět)
Aloisík | 89.102.229.*3.7.2013 20:37
re: Červenec: prázdniny začaly, nám se stýská po š#
Ještě dodám, že sem nalezl CSRF.. Je toho opravdu spoustu..
(odpovědět)
Aloisík | 89.102.229.*3.7.2013 20:50
re: Červenec: prázdniny začaly, nám se stýská po š#
Nemohl by jsi mi někam poslat SQLi ? Rád bych se jim pomstil, za ty protrpěné roky tam.
(odpovědět)
AnonymniPan | 217.12.56.*3.7.2013 21:55
re: Červenec: prázdniny začaly, nám se stýská po š#
Já během rychlého průzkumu přímo na doméně [link] nenarazil téměř na nic. Místy se to sice tvářilo na SQLi nebo LFI, ale chtělo by se tomu věnovat déle, abych to mohl případně potvrdit.
BTW: Jde o aplikaci poskytovatele [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP3.7.2013 22:12
re: Červenec: prázdniny začaly, nám se stýská po š#
Oni tuším mají i vlastní server, nic zdíleného.
(odpovědět)
AnonymniPan | 217.12.56.*4.7.2013 10:09
re: Červenec: prázdniny začaly, nám se stýská po š#
www.zsradvan.info se překládá na www.zsradvan.edupage.org, což jsou servery, které hostují školní aplikaci edupage.org, takže tím vlastním serverem a žádným sdílením bych si nebyl vůbec jistej, viz. [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.7.2013 10:57
re: Červenec: prázdniny začaly, nám se stýská po š#
SQLi, tam opravdu je, ale nechci zde linkovat, jelikož je jasné, že "Anonymní pán" chce škole uškodit a proto tu nejsme..
(odpovědět)
Aloisík | 89.102.229.*4.7.2013 17:23
re: Červenec: prázdniny začaly, nám se stýská po š#
Tím pádem lze na seznam připsat další desítky škol, které své weby hostují u stejné společnosti.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.7.2013 17:27
re: Červenec: prázdniny začaly, nám se stýská po š#
[link] na tejto škole som nemohol najsť nič som le začiatočnik taze sorry ked sa mylim
(odpovědět)
Anonhax | 178.40.54.*4.7.2013 9:17
re: Červenec: prázdniny začaly, nám se stýská po š#
Je tam SQLi

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.7.2013 10:47
re: Červenec: prázdniny začaly, nám se stýská po š#
V url alebo v nejakom bare ?
(odpovědět)
Anonhax | 178.40.54.*6.7.2013 12:09
re: Červenec: prázdniny začaly, nám se stýská po š#
Kto hlada, ten najde :)
(odpovědět)
jermenkooo | 195.91.110.*8.7.2013 10:57
re: Červenec: prázdniny začaly, nám se stýská po š#
aspon porate tvorcu tej stranky poznam je to moj kamarat taze poškodit nechcem a tu školu som mal rad
(odpovědět)
Anonhax | 178.40.54.*8.7.2013 13:19
re: Červenec: prázdniny začaly, nám se stýská po š#
Lepší by bylo najít něco v [link] ;)
(odpovědět)
Thyrst' | E-mail | Website | PGP4.7.2013 13:04
re: Červenec: prázdniny začaly, nám se stýská po š#
Naše škola běží pod Joomlou verze 1.5 (dva roky staré). Ta verze obsahuje kritickou chybu...

----------
-----BEGIN GEEK CODE BLOCK-----
Version: 3.1
GCS d- s-:- a--- C+ UL++ L+++ W++ w-- PGP++ b++
------END GEEK CODE BLOCK------
(odpovědět)
Jakub Tětek | E-mail | PGP4.7.2013 19:11
re: Červenec: prázdniny začaly, nám se stýská po š#
Další dávka zranitelných webů základních škol:

Základní škola a mateřská škola ANGEL v Praze 12 [link] SQLi, XSS
Základní škola, Praha 4, Na Líše [link] SQLi, XSS
Základní škola Meteorologická Praha 4 [link] SQLi, XSS
Základní škola s rozšířenou výukou jazyků Praha 4, Filosofská [link] XSS, FPD
Základní škola, Praha 4, Křesomyslova [link] XSS, FPD
Základní škola a mateřská škola Chodov, Praha 4 [link] XSS
Základní škola a Mateřská škola, Praha 4 [link] SQLi
Základní škola, Praha 4, Jižní IV. [link] SQLi
Základní škola, Praha 4, Plamínkové [link] LFI, FPD
Základní škola Rakovského v Praze 12 [link] SQLi, XSS
Základní škola, Praha 13, Janského [link] SQLi, XSS

V příštím týdnu se pro změnu zaměřím na střední školy.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP4.7.2013 19:41
re: Červenec: prázdniny začaly, nám se stýská po š#
Muzu poprosit jeste tento [link] ? Zkousel jsem xss ale nedarilo se mi, ale jsem zacatecnik ... no chtel bych se hlavne ujistit jestli tam je nebo neni jestli to mam zkouset dal.
(odpovědět)
immension | E-mail4.7.2013 22:29
re: Červenec: prázdniny začaly, nám se stýská po š#
web jako takovej by byl asi na dyl.. kazdopadne by stalo za to si proscanovat tuhle IP -> 89.190.61.115 .. to bude nejakej jejich stroj

----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r13.1.2014 16:57
re: Červenec: prázdniny začaly, nám se stýská po š#
btw bezi tam toho docela dost :)

21/tcp filtered ftp
22/tcp filtered ssh
23/tcp filtered telnet
53/tcp filtered domain
80/tcp open http
2000/tcp filtered cisco-sccp
2222/tcp open EtherNet/IP-1
3389/tcp open ms-wbt-server
3390/tcp open dsc
3986/tcp filtered mapper-ws_ethd
4000/tcp open remoteanything
8010/tcp open xmpp
8080/tcp filtered http-proxy
8081/tcp open blackice-icecap
8291/tcp open unknown


----------
hack or be hacked :-) .. by greyhats
(odpovědět)
c0d3r13.1.2014 16:59
re: Červenec: prázdniny začaly, nám se stýská po š#
Zkoušel jsem web školy na kterou chodil kamarád, ale nejspíše nic. [link]
(odpovědět)
Kimčong-un | 90.181.213.*5.7.2013 23:23
re: Červenec: prázdniny začaly, nám se stýská po š#
A co takhle se misto na skoly, kde dela admina nejaky jouda, aby mela skola alespon nejaky web, zamerit treba na samotne ministerstvo a podobne organizace? Byla tady treba skolni inspekce.
(odpovědět)
vfv | 37.188.226.220/127.0.0.*6.7.2013 0:22
re: Červenec: prázdniny začaly, nám se stýská po š#
Zmiňoval jsem nejenom web školní inspekce, ale i samotného ministerstva školství. Na obou se nějaké to SQLi dá najít.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.7.2013 10:28
re: Červenec: prázdniny začaly, nám se stýská po š#
co tohle [link] ?

(odpovědět)
ecstasy | 90.177.105.*6.7.2013 9:43
re: Červenec: prázdniny začaly, nám se stýská po š#
Zdravim, ako prebieha tato akcia, tak som sa len tak, pozrel na web katedry ktoru navstevujem, objavil som tam dost zavazne zranitelnosti, a teraz mam dilemu ci to mam nahlasit adminovi, ale zas nechcem predcasne ukoncit studium.. zaujimal by ma Vas nazor ci to nahlasit alebo nie?
(odpovědět)
.asdf | 78.98.196.*6.7.2013 11:08
re: Červenec: prázdniny začaly, nám se stýská po š#
To Kimčong-un : Tam už nic není, odtý doby co jsem jim nahackoval databázi a chvíli dusil admina než to opravil tam už nic není ([link] tak jsem si trošku hrál) a pak tam maj ještě tohle
[link] a tam je XSS
(odpovědět)
Mutagen_NoReg | 89.190.90.*6.7.2013 17:37
re: Červenec: prázdniny začaly, nám se stýská po š#
No a divite se? vetsinou nejsou penize na spravu a na lidi ... to same maji stredni skoly ... takze tomuhle nikdo nevenuje pozornost ....
Bohuzel tyto organizace na tohle nejsou staveny, aby mely chranene systemy a jsou radi, ze si koupi/doma udelaji na koleni nejaky web ... a funguje :(
Zameril bych se vyse ... na ty, kteri to maji na svedomi :)
(odpovědět)
Mischa8.7.2013 1:59
re: Červenec: prázdniny začaly, nám se stýská po š#
Není to tak úplně pravda. Mnoho škol si na své weby zaplatí nějakou specializovanou firmu, která se třeba i navíc zdá, že její aplikace budou bezpečné, např.: [link]

Ve skutečnosti tomu tak ale není, a ne jen že všechny školy jedoucí na tomto systému: [link] ale i samotný web provozovatele služby jsou náchylné na SQLi.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.7.2013 10:44
re: Červenec: prázdniny začaly, nám se stýská po š#
Nepozre niekto aj toto? www.gjh.sk

Osobne som nic nenasiel.
(odpovědět)
jermenkoo | 195.91.110.*8.7.2013 11:00
re: Červenec: prázdniny začaly, nám se stýská po š#
Přímo na tomto webu je například FPD, ale mnohem zajímavější je to na ostatních hostovaných subdoménách a adresářích. Tam už se XSS, LFI, apd. dá najít docela rychle.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.7.2013 17:37
re: Červenec: prázdniny začaly, nám se stýská po š#
Aby sa nezdalo, že slovenské školy v zranitelnostiach zaostávajú. (A to som začiatočník...)

www.soaza.sk - XSS
www.futsal.gsf.sk - XSS, sqli + no deravé jak rešeto
www.sosst.sk - sqli
www.sosbanbb.sk - blind sqli
www.soshlohovec.sk - sqli
www.zssslm.sk - XSS + autor CMS si myslel že je fajn nápad zobrazovať phpinfo
polarka.sk - sqli (aj v iných stránkach ABSolution)

Ešte som našiel nejaké wp-config.bak ale to sem nebudem hádzať.
(odpovědět)
pumpkin | 173.254.216.*10.7.2013 2:27
re: Červenec: prázdniny začaly, nám se stýská po š#
První várka zranitelností středních škol:
Střední odborné učiliště DAKOL, s.r.o. [link] XSS
Vyšší odborná škola a Střední škola technická Česká Třebová [link] XSS
Střední škola, Lomnice nad Popelkou, A.Staška [link] SQLi
Obchodní akademie Praha 4, Svatoslavova [link] SQLi
Střední škola a Vyšší odborná škola reklamní a umělecké tvorby, Praha 4 [link] XSS
Střední škola technická a obchodní, Olomouc, Kosinova [link] SQLi, XSS
Integrovaná střední škola Nová Paka [link] XSS, FPD
Střední odborná škola lesnická a strojírenská Šternberk [link] SQLi
První soukromá hotelová škola, Praha [link] XSS
Střední škola KNIH, Brno [link] XSS
Střední škola řemesel a služeb, Děčín [link] XSS
Gymnázium a Střední odborná škola Frýdek-Místek [link] LFI

Test ukázal, že střední školy v daleko větší míře využívají systémů jako Drupal, Wordpress, apd. než základní školy.

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP10.7.2013 21:29
re: Červenec: prázdniny začaly, nám se stýská po š#
A co tady?
[link]
Bývala tam LFI, ale hned to opravili :(
Hledal jsem dál, ale už tam prostě nic nemůžu najít. BTW používají htpasswd
(odpovědět)
FastNode | 85.70.218.*18.7.2013 1:42
re: Červenec: prázdniny začaly, nám se stýská po š#
docela me zaujala zminka o SQLi na MSMT. Zkousel jsem ji najit, ale nebyl jsem uspesny. Pokud by autor toho tvrzeni mohl alespon naznacit, byl bych mu vdecny :)
(odpovědět)
proudhon | 147.231.37.*19.7.2013 9:25
re: Červenec: prázdniny začaly, nám se stýská po š#
např. [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP19.7.2013 10:09
re: Červenec: prázdniny začaly, nám se stýská po š#
www.Masarykovazs.cz
Kdysi jsem tam i já našel XSS, ale opravili to. Kdyby jste měl někdo čas, tak mi jen napište, zda tam nějaká chyba je.
(odpovědět)
Willcs | 212.83.208.*20.7.2013 20:22
re: Červenec: prázdniny začaly, nám se stýská po š#
Naše škola jede na google webu, takže tam nic není :(
(odpovědět)
Micaszt | 90.176.181.*7.8.2013 14:59
re: Červenec: prázdniny začaly, nám se stýská po š#
Kdy budou VŠ? Přidám se do diskuse :-D
(odpovědět)
kuleriks8.8.2013 16:32
re: Červenec: prázdniny začaly, nám se stýská po š#
kuleriks: Nemusíš čekat, klidně postuj své příspěvky :)

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP8.8.2013 17:44
re: Červenec: prázdniny začaly, nám se stýská po š#
Střední škola letecké a výpočetní techniky Odolena Voda [link] - SQL injection, XSS

----------
Spravedlnost bez síly je marnost, ale síla bez spravedlnosti je zločin.
(odpovědět)
Fil-kun | E-mail9.8.2013 10:31
re: Červenec: prázdniny začaly, nám se stýská po š#
Jeden čas se nám školní stránky na staré Joomle přesměrovávali po 15 vteřinách na nějaký reklamy (a to jsme IT škola :D). Dnes ale koukám, že nahodili nové... ale nevím jestli si pomohli, kdo máte chuť: [link]
(odpovědět)
vosanet | E-mail | Website30.8.2013 23:25
re: Červenec: prázdniny začaly, nám se stýská po š#
www.mgplzen.cz
je tam něco?
(odpovědět)
tudik | 90.177.225.*12.1.2014 23:56
re: Červenec: prázdniny začaly, nám se stýská po š#
Jo. :D

Joomla 1.0.x
(odpovědět)
kowal | E-mail15.1.2014 22:16
re: Červenec: prázdniny začaly, nám se stýská po š#
A co tady: [link] :-D

(odpovědět)
Micuch | 147.229.200.*17.1.2014 22:45
re: Červenec: prázdniny začaly, nám se stýská po š#
např:
veřejně dostupné statistiky návštěvnosti: [link]
co je na tomhle tajného, netuším: [link]
(odpovědět)
Emkei | E-mail | Website | PGP20.1.2014 12:55
re: Červenec: prázdniny začaly, nám se stýská po š#
Ne přímo na uvedené subdoméně, ale třeba:
SQLi: [link]
XSS: [link]

----------
Teprve když vstáváte s hackingem a uléháte s myšlenkou na něj, máte šanci být hackerem.
(odpovědět)
.cCuMiNn. | E-mail | Website | PGP20.1.2014 14:21
re: Červenec: prázdniny začaly, nám se stýská po š#
Nezabezpeceny download
[link]

----------
I přestože jsem paranoidní neznamená, že mě nedostanou...
(odpovědět)
hodza | E-mail | Website5.2.2014 10:07
re: Červenec: prázdniny začaly, nám se stýská po š#
je něco na
www.zsamszirovnice.cz
(odpovědět)
hacker_anonym12324.4.2022 10:26

Zpět
 
 
 

 
BBCode