SQLi Alfabetajuega

1.  
2.  
3. __ __ _____ __ _____ __ __
4. _____/ // /____ |__ /_____ / /|__ // // / ____ ___
5. / ___/ // //_ / /_ </ ___/ / __//_ </ // /_/ __ `__ \
6. / / /__ __// /____/ / / / /____/ /__ __/ / / / / /
7. /_/ /_/ /___/____/_/ \__/____/ /_/ /_/ /_/ /_/
8.  
9. ************************************************************
10. * SQLi Alfabetajuega.com *
11. ************************************************************
12. Site:Alfabetajuega.com
13.  
14. Descripcion del site:enfocado a noticias de videojuegos en general
15.  
16. Descripcion de la vulnerabilidad:
17.  
18. 1 > Se encuentra un sintoma de vulnerabilidad frente a SQLi, se testea siguiendo el protocolo habitual.
19.  
20. 2 > Se halla que el tipo de Inyección es Time-Based, se testea usando este mismo metodo(Tanto manualmente como automaticamente).
21.  
22. 3 > Se accede sorprendentemente a la base de datos del Website(siendo una web seria, tendria que estar bien hecha y no tener este tipo de errores).
23.  
24. 4 > Se obtiene la tabla adm_socios de la misma, extrayendo solo quince mil usuarios y contraseñas.
25.  
26. 5 > Se notifica al administrador y propietario de la web, sin obtener respuesta alguna.
27.  
28. 6 > Se publica la vulnerabilidad.
29.  
30. 7 > Se borra la base de datos por una aparente respuesta del administrador.
31.  
32. 7 > Responde en una actitud chulesca e intenta intimidarnos.
33.  
34. 8 > Se vuelve a publicar definitivamente la base de datos.
35. *******************************************************************
36. * Proof of Concept (PoC) *
37. *******************************************************************
38. http://www.alfabetajuega.com/_rotatory_especial.php?id=%27 (Aún Inyectable)
39.  
40. 15k adm_socios: http://s000.tinyupload.com/index.php?file_id=56921132693149932582
41.  
42. Datos del registrante de alfabetajuega.com (totalmente legal).
43.  
44. Registrant Name: Kiko Béjar
45. Registrant Organization: PARTNERS ENTERTAINMENT
46. Registrant Street: Avda Castillo de Olivares, 1. Portal 9.
47. Registrant City: Torrelodones
48. Registrant State/Province: Madrid
49. Registrant Postal Code: 28250
50. Registrant Country: ES
51. Registrant Phone: +34.665239974
52. Registrant Phone Ext:
53. Registrant Fax:
54. Registrant Fax Ext:
55. Registrant Email: Email Masking Image@alfabetajuega.com
56. Registry Admin ID:
57. Admin Name: Kiko Béjar
58. Admin Organization: PARTNERS ENTERTAINMENT
59. Admin Street: Avda Castillo de Olivares, 1. Portal 9.
60. Admin City: Torrelodones
61. Admin State/Province: Madrid
62. Admin Postal Code: 28250
63. Admin Country: ES
64. Admin Phone: +34.665239974
65. Admin Phone Ext:
66. Admin Fax:
67. Admin Fax Ext:
68. Admin Email: Email Masking Image@alfabetajuega.com
69. Registry Tech ID:
70. Tech Name: Kiko Béjar
71. Tech Organization: PARTNERS ENTERTAINMENT
72. Tech Street: Avda Castillo de Olivares, 1. Portal 9.
73. Tech City: Torrelodones
74. Tech State/Province: Madrid
75. Tech Postal Code: 28250
76. Tech Country: ES
77. Tech Phone: +34.665239974
78. Tech Phone Ext:
79. Tech Fax:
80. Tech Fax Ext:
81. Tech Email: Email Masking Image@alfabetajuega.com
82. Name Server: NS.GESTIONDECUENTA.COM
83. Name Server: NS3.GESTIONDECUENTA.COM
84. Name Server: NS4.GESTIONDECUENTA.COM
85. Name Server: NS2.GESTIONDECUENTA.COM