Burlar el login del programa de la guía interactiva EXANI-II

Si eres de esos usuarios que siempre se olvida de su contraseña por algún motivo, y no recuerdas tu usuario y/o contraseña del CENEVAL ó no los tienes y quieres conocer el contenido del programa, este manual te será de gran utilidad.

Primero, descargamos e instalamos el programa como lo haría cualquier usuario, después de que se haya instalado el programa, lo ejecutas y verás lo siguiente:

De inmediato probamos si nos dá acceso.

Ahora, abrimos el explorador de Windows y vamos a la ruta en la cuál se instalo él programa, ahí buscamos la carpeta llamada “Resources”.


Aquí si conoces un poco de desarrollo web, podrás ver que la estructura de directorios es la de un “sitio web” y el “programa” se ejecuta en el navegador, con esto aseguran que el “sistema” funcione en la mayoría de las plataformas existentes.


Esto hace el camino para Hackear probar el sistema aun más fácil.
buscamos la carpeta “js“. (que suele tener los Scripts de JavaScript de las páginas web)

Como podemos ver, los archivos con el código fuente del javascript están presentes en la carpeta, ahora siendo un poco lógicos podemos deducir que el archivo que buscamos es “login.js” o solamente “login” y les creamos un respaldo,(copiar/pegar) por si algo llega a fallar.

Como los archivos están protegidos, nos aparecerá una advertencia, les damos en aceptar.

para evitar estos errores que da “Windows“, copiemos el archivo en el escritorio ó otro lado para evitar las engorrosas advertencias.

ahora abrimos el archivo con un block de notas y buscamos la linea 100(aproximadamente).


if(rows.rowCount()>0) {
var userUUID = rows.fieldByName(‘userUUID’);
rows.next();
db.execute(‘UPDATE loggedIn SET usuario=? where id=1’,userUUID);
rows.close();
db.close();
window.location = “/inicio.html”;
}
else{
alert(‘El usuario o contraseña es inválida’);
}

Copiamos la linea: window.location = “/inicio.html”;
y lo pegamos en una nueva liena y al final de la advertencia de: alert(‘El usuario o contraseña es inválida’);

Así debería de quedar:


if(rows.rowCount()>0) {
var userUUID = rows.fieldByName(‘userUUID’);
rows.next();
db.execute(‘UPDATE loggedIn SET usuario=? where id=1’,userUUID);
rows.close();
db.close();
window.location = “/inicio.html”;
}
else{
alert(‘El usuario o contraseña es inválida’);
window.location = “/inicio.html”;
}

Guardamos, enseguida copiamos el archivo a la carpeta “js“, nos saldrá una advertencia, la aceptamos.

Enseguida pasamos a probar que esto realmente sea efectivo y a probar el programa.
Abrimos el programa normal, ponemos un usuario y contraseña y le damos aceptar, nos saldrá la advertencia anterior, no hay de que preocuparnos, es normal, le damos en aceptar y nos accederá al programa.

Y así es como cumplimos con nuestro objetivo.


Nota:
Nos daba la advertencia porque en el código no omitimos la advertencia, si no solo se inserto la instrucción de acceder al programa:

}
else{
alert(‘El usuario o contraseña es inválida’); // advertencia que nos salió
window.location = “/inicio.html”; // linea que hace acceder al programa
}

La linea (window.location = “/inicio.html”;) no necesariamente debe en ir abajo de la linea antes mencionada, si no en otra parte del cuerpo del código, solo que sea en un lugar “lógico” en donde pueda leer esa linea ó no provoque que el programa truene.


Links de descarga del programa:
Mega
Google Drive

Este artículo tiene como finalidad mostrar como un programador descuidado  cuando no pone mucho empeño en la seguridad, se pueden brincar los “candados” de los programas. es con fines didácticos y el autor o The inventor’s house no se hacen responsables de el uso que le puedan dar los lectores a esta información.

4 opiniones en “Burlar el login del programa de la guía interactiva EXANI-II”

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *