Hackeando paginas de Web

1) -Introdução

Por favor , saiba que hackear webpages é considerado lammer em muitas opiniões , e muito provavelmente NÃO vai te dar uma boa reputação . As pessoas sempre podem checar Log's uma vez notificadas de hancking , e provavelmente o seu IP/Host pode vir á toma e no mínimo irão te processar pela lei de crimes no computador, e vc será condenado á alguns anos de prisão e terá de pagar uma boa quantia de dinheiro . então por favor tente não abusar do conhecimento em relação a esse assunto . Esse texto tem apenas a função de informar. 

2)-Hackeando Free Web Pages

O serviço de hosting gratis de webpages é feito por empresassa como a Tripod An Geocities, que dá o espaço de graça e ganha dinheiro com propagana . Há maneiras de hackear essas empresas e ter acesso á todas as Senhas/usernames, mas é algo que seria complexo para a maioria das pessoas. Esse metodo que vai ser explicado é simples engenharia social , o que não é muito dificil de se fazer. Então , não se ache um Hacker de Elite só por que você zuou a webpage de uma pobre pessoa que apenas esqueceu algumas informações pessoais na própria Page.
Tudo que você tem que fazer é abrir uma conta num serviço de e-mail (Ex: Hotmail) e escolher uma vitima. Você precisará a data de nascimento , o nome , e o e-mail antigo da pessoa , e se possivel , o Endereço dela. Resumindo ... Consiga o Maximo de Info que você puder sobre ela. perderam o passowrd de sua page . quando vc tiver o maximo de informações sobre a pessoa , mande um e-mail para a empresa dizendo que vc mudou de e-mail , espere duas semanas e mande outro , Só que nesse , diga que vc perdeu a sua passowrd , na maioria das vezes eles te mandam um e-mail de volta , dizendo que vc precisa confirmar alguns dados pessoas seus , como a data de nascimento ou endereço.

Tudo o que vc tem de fazer é mandar todas as informações que vc conseguiu, e esperar a passowrd chegar fresquinha no seu e-mail. 
por outro lado , companhias como a Geocities são muito ocupado para ficar respondendo e-mais de perda de passowrd , então eles fizeram uma pagina onde membros podem pegar suas passowrd's de volta 
(www.geocities.com/help/pass_form.html ).

3)- HACKEANDO PAGES DE USUÁRIOS

Existem várias maneiras de hackear pages de usuários em um servidor . Eu vou tentar listar aqui o máximo de maneiras possiveis para tal , mas não espere muito em termos de infermação Detalhada .
Pegando as passoword's : 
Beleza , suponha que vc encontrou uma page que vc quer hackear , e que esta page esteja num server em que vc não tenha acesso , e que esse servidos seja BASICO , segurança leve. Tudo bem vai... segurança bemm Leve !! Não vou mentir funciona melhor em sites em segurança . hehehe
Nesse caso pegar o password é bem facil . Abra um talnet para o FTP do server acnonimamente e olhe no diretorio ETC. Pegue o arquivo chamado "passwd", outra maneira de pega-las é achar o seu alvo , abrir m www-browser e digita : cgi-bin/phf?Qalias=x%20/etc/passwd DEPOIS do nome do servidos. 

EX :
www.vitima.com/cgi-bin/phf?Qalias=%Oa/bin/cat%20/etc/passwd 
OBS : se vc não souber o que colocar no lugar de "vitima.com" , se mate lammer ! : Você pode vir á pegar um arquivo passwd que não tenha contas de usuarios , apenas defauts com a senha encriptada com um * no lugar . Em certos servidores com isso, vc pode ter passwd shadowed , mas em que todas as passwd files que ja vi , havia um username como FTP e/ ou News que não tinham as senhas encriptadas , com um * no lugar . 

Se vc achar apenas isso e nada de senhas encriptadas , tente outra maneira de hackear o server

Vc precisa examinar o arquivo de passowrd's e achar algo tipo assim : 
rrc:uXDg04UkZgWOQ:201:4:Richard Clack:/export/home/rrc:/bin/ksh

Não precisa ser EXATAMENTE assim , a unica parte Realmente importante é o : rrc:uXDg04ukzgWOQ , que é o username ( rrc) e o passwd
ENCRIPTADO ( uXDg04ukZgWOQ ) 

Pegue um programa chamado JOHN THE RIPPER , que pode ser encontrado em qualquer site de H/P/V/A/C na web. 
Para usar o JOHN THE RIPPER é facil . Se vc quer quebrar rapidamente as senhas vá no prompt dos DOS , no diretorio de programas e digite :
john passwd- single
Onde psswd é o nome da passwd file . Por exemplo , se vc salvou o passwd file
como pass.txt ficaria :
john pass.txr-single
Uma coisa importante é que a passwd esteja mesmo diretorio que o programa. 
Para obter uma lista de outros métodos de quebrar uma passwd file , digite apenas " john" , no diretorio do programa , para obter uma lista de comandos . 
Eu acho que o JOHN THE RIPPER funciona bem sem wordlists , mas algumas pessoas discordam . Se quiser se aprofundar no programa , procure um texto que ensine a usar o JOHN THE RIPPER . Este aqui ensina apenas o Básico . Para conclir ... se vc pegou o password e username , DIVIRTA-SE !!!!

4)-HACKEANDO UMA PAGE EM UM SERVER QUE VC TBM TENHA ACESSO

Essa seção ensina como hackear uma webpage num server onde vc já tem uma conta . Esse texto foi retirado de um texto feito por Lord Somer, e já que não quero arrancar algo importante do texto , vou apenas deixa-lo ai , apenas vou traduzi-lo , poies é um método complexo , onde qualquer cagada pode zoar o esquema todo. 

******************************************************** 
Exploiting Net Administration Cgi's 
Like nethosting.com
Date:9/2/97
**********************************************************
Bom, desde que a nethosting.com fechou ou o que quer que seja , eu pensei : " Que porra eu vou fazer antes de esquecer como fiz esse hacker? " O que eu vou fazer é dizer COMo eu fiz , então dai vc pode vir a encontrar o mesmo sistema em algum outro lugar ou usar para tirar suas próprias ideias para o hack.
Basicamente , a nethosting.com fez toda a sua administração via CGI'z (net-admin.nethosting.com ) PRimeiro , vc precisa ter uma conta nesse server , falsifique uns números de cartão de crédito se necessário . Depois , entre dentro da área de administração ... vc vai ver umas merdas como administração de FTP , e-mail , etc...

Quem se importa com e-mail ? Entao , vamos ao FTP , clique na FTP ADMINISTRATION . Vamos dizer que vc esta logado como 7hsphere.com. Seu Url seria algo do tipo : 

http://net-admin.nethosting.com/cgi-bin/add_ftp.cgi?7hsphere.com+ljad32432jl Apenas mude o 7hsphere.com para qualquer dominio que o sistema tenha , ou se no chmod , apenas delete essa parte , mas deixe o sinal de + para editar odiretorio usr/home . Na administração do FTP , faça uma conta de backdoor para esse dominio criando uma diretorio chamado / , ja que multiplas /// continuam mostrando apenas / .

uma vez vc tem o backdoor , dIverta-se !! 
Bom, A teoria Básica desse tipo de exploit é que : 
desde que isso usa o bagulho depois do + para verificar se este é uma conta valida logada , isso não checa a password novamente . 
multiplas ///'z no UNIX apenas significam uma / , então , não podemos ganhar acesso á diretorios de outras pessoas ou todo o diretorio /usr/home. Eu usei este metodo para hackear alguns lugares conhecidos : 

-7thsphere.com
- sinnerz.com
-hawkee.com
-lgn.com
E muitos outros sites desconhecidos



5)- OUTRA MANEIRA DE SE HACKEAR USER PAGES 

Outro metodo que pode funcionar com servidor mal administrado é , ás vezes , quando vc abre um FTP no server , vc sai do seu diretorio home , volta alguns diretorios , e acha o diretorio da vitima . Uma vez que vc tenha feito isso , vc pode acessar os arquivos HTML , salva-los no disco , edita-los e colocar novamente dentro doi dir , OS arquivos HTML podem ou não ficar dentro do FTP , mas com admins , eles são acessiveis para outros usuarios . 

6)- MÉTODOS QUE NÃO SE ENCAIXAM NAS OUTRAS CATEGORIAS. 

Ha muitas maneiras de hackear webpages , a burrice das outras oessias é uma boa maneira . Muitas password's são adcinhaveis se elas nao sao hackeaveis . isso não e hacking , mas sim stupidez de outras pessoas ., Se voce pegar o root de um server , vc pode ter acesso a TUDO no servidor . Entao , se vc quer hackear um servidos de webpage , ou acessar qualquer coisa nesse servidos , vc deve pegar uma conta e rodar um exploit no servidor , mas isso e uma coisa que newbies não devem tentar enquanto não tiverem certeza do que estão fazendo .