Направьте молодняк XST уязвимость

Подсобите малость пож... Просто для Кардинга решил плотно научиться взлому сайтов магазинов и т.д.... для добычи картона так сказать..... Начал всего месяц назад как установил Kali Linux, тока в ней половину времени разбирался но не суть...
nikto нашел следующее:
+ Apache/2.4.6 appears to be outdated (current is at least Apache/2.4.12). Apache 2.0.65 (final release) and 2.2.29 are also current.
+ OSVDB-877: HTTP TRACE method is active, suggesting the host is vulnerable to XST
+ /cgi/wwwadmin.pl: Administration CGI?
+ OSVDB-5034: /admin/login.php?action=insert&username=test&password=test: phpAuction may allow user admin accounts to be inserted without proper authentication. Attempt to log in with user 'test' password 'test' to verify.
+ OSVDB-12184: /?=PHPB8B5F2A0-3C92-11d3-A3A9-4C7B08C10000: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-12184: /?=PHPE9568F34-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.
+ OSVDB-12184: /?=PHPE9568F35-D428-11d2-A769-00AA001ACF42: PHP reveals potentially sensitive information via certain HTTP requests that contain specific QUERY strings.

5034 Не работает, когда подставляю к главной странице... Там нету /admin/login.php таких страниц и вообще пока поднапутанно с админкой. А Авторизация в Сплывающем окне.... Не подставишь код я так понял в URL...
в Owasp Zap нашел тут /board2007/index.php там еще одно окно авторизации вылазиет я так понял под Админа как раз. Но туда не вкатывает test test подставлять в url...

/cgi/wwwadmin.pl попробовал посмотреть получил вот такое и могу чето наделать там...

• Remove Files
  • Remove Files
  • Remove Files by Mesage Number
  • Remove Files by Date
  • Remove Files by Author
• Password
  • Change Admin Password

OSVDB-12184 это обычные скрипты эсли просматриваешь через код страници... я правда слепой и не чего не увидел в них...
OSVDB-877 и как ее раскрутить =))) просто где искать инфу

 

Code:

/admin/login.php?action=insert&username=test&password=test

по ссылке проходишь - должно авторизоваться под учёткой дефолтной.

Во второй админке - ну так у тебя куча возможностей. Если можешь загружать файлы - заливай шелл и готово =)

XST нагуглить пытался?

 

да походу нужно глубже в php вникать еще впитывать и впитывать.... XST да сижу читаю мануалы, уже голова кипит =))) вчера вот весь день просидел над этой темой часов 12 =)
много лишнего читаешь еще порой

 

Кардинг в топку!

 

хз я в свое время поднимал бабос, друг у меня долго мутит и норм живет..... просто я решил вернутся в кардинг понял что нынче не выгодно покупать картон его нужно мутить самому =))))