Чаты Обнаружены дыры в модах чата chat.php.spb.ru

Discussion in 'Веб-уязвимости' started by Хранитель, 18 Jan 2005.

Thread Status:
Not open for further replies.
  1. Хранитель

    Хранитель New Member

    Joined:
    26 Dec 2004
    Messages:
    6
    Likes Received:
    3
    Reputations:
    1
    Обнаружены некоторые дыры в модах чата chat.php.spb.ru, ущевствует возможность удаления фото из анкеты, закачки своих фоток, промотра чужего оффлайна, поясняю как

    1. Сначала заходите и смотрите фото, запоминаете, какая там ссылка, или сматреть при голосовании, вообщем где будут ключи

    Основа:

    2. Выходите из чата, пишите ник того юзера, которого хотите отиметь,

    3. Жмем логин, не вводим пароль

    4. даллее пишим ссылку на удаление фото
    http://tot_chat.ru/foto.php?cmd=del&foto_nick=ник_кого ломаете&foto_k, вообщем посмотррие, какой запрос на удаление, смысл в том, что после 2 и 3 мод думает что твой ник , которого ломаешь,

    Если есть мод оффлайна, то сделайте 2 и 3 шаг, а потом напишите адрес http://<.......>/offline.php и будут сообщения того юзера, которого хотите )))

    Есть еще несколько дыр, о которых я помолчу
     
    3 people like this.
  2. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Молодей Хранитель. Спасибо. Я уже что то слышал про дыры в этом чате. Сам давно хотел им заняться, и я думаю что инфа об этих дырах, что ты умолчал рано или поздно у нас на АНТИЧАТ появится...
     
  3. Хранитель

    Хранитель New Member

    Joined:
    26 Dec 2004
    Messages:
    6
    Likes Received:
    3
    Reputations:
    1
    Собственно, дыр в чате нет, а модах есть, я сам эти моды писал, вот только их дырявых надарили всем, вот я и сказал как их ломать (заебало что их распространяют на***), а у тех кто их у миня покупал - то у них нет дыр )))

    http://chatmod.net.ru/
     
  4. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Да просто до меня доходила инфа что в чате есть серьезная уязвимость...
     
  5. Хранитель

    Хранитель New Member

    Joined:
    26 Dec 2004
    Messages:
    6
    Likes Received:
    3
    Reputations:
    1
    какая именно? последняя версия вышла в декабре 2003 и за год не нашлась ни одна дыра
     
  6. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Я не знаю. Это на уровне слуха. В общем все равно есть большое желание проверить его на безопасность .
     
  7. Хранитель

    Хранитель New Member

    Joined:
    26 Dec 2004
    Messages:
    6
    Likes Received:
    3
    Reputations:
    1
    Просто не верится ))) сам пробовал?
     
  8. Егорыч+++

    Staff Member

    Joined:
    27 May 2002
    Messages:
    1,373
    Likes Received:
    895
    Reputations:
    20
    Нет. Но я обязательно этим займусь
     
  9. JazzzSummerMan

    Joined:
    7 Apr 2004
    Messages:
    374
    Likes Received:
    18
    Reputations:
    14
    А по-моему было на секлабе
     
  10. Sa|)!$T

    Sa|)!$T New Member

    Joined:
    19 Jan 2005
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Да-да, я уж то же давно хотел заняться этим чатом!..... Так что если кто прикольную дыру найдёт сообщите =) ....
     
  11. FoX's

    FoX's Дохлый

    Joined:
    26 Dec 2004
    Messages:
    169
    Likes Received:
    29
    Reputations:
    0
    Админы Gogogo! Удаляем!
     
  12. Flame_of_Death

    Flame_of_Death New Member

    Joined:
    3 Dec 2005
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Так, если не трудно расскажите всё про этот чат, дыры, моды, уязвимость и всё такое - буду признателен!!! :) :)
     
  13. BymeR

    BymeR Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    34
    Likes Received:
    9
    Reputations:
    1
    Блин не пашет...Вот какой нужен запрос на удоление в чате www.mari-el.org

    http://www.mari-el.org/foto.php?cmd=del&id=******
    Делаю всё как сказал Хранитель...Выдаёт-

    ОШИБКА
    ВЫ НЕ ВОШЛИ В ЧАТ ПОД СВОИМ ПАРОЛЕМ, ИЛИ ВЫ НЕ ПРОШЛИ ПРОЦЕДУРУ РЕГИСТРАЦИИ .



    А если просто так вписать url то говорит ошибка урл =(
    Эх Оскорбин Сергей Александрович,знал бы и я так хорошо php =) Не научите =)
     
  14. Sn_key

    Sn_key Elder - Старейшина

    Joined:
    7 Mar 2005
    Messages:
    142
    Likes Received:
    15
    Reputations:
    9
    Ты неподрубаеш! lol ! Так и должно быть! Смысл в том что если ты так несколько раз сделаеш то того чела которого ты пишеш забанят, а не ты зайдёш под его ником!
     
  15. BymeR

    BymeR Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    34
    Likes Received:
    9
    Reputations:
    1
    эээ...Ваобщето я всё делал для того чтобы фоту удалить =)
    Банить тут не будет,будет эквивалент /kick просто выкинет,он сможет перезайти...
    Всё равно не понял,как хотябы кикнуть его из чата =(
     
  16. Dronga

    Dronga ВАША реклама ТУТ!!

    Joined:
    1 Jul 2005
    Messages:
    575
    Likes Received:
    239
    Reputations:
    249
    Реально, описано правда уж слишком непрофессионально, я так понимаю, это специально, чтобы мог понять обычный человек. Но вообще если ты создатель, то ты меня удивил таким деструктивным постом. Респект в общем, продолжай в том же духе, народ жаждет.
     
  17. Gisher

    Gisher Elder - Старейшина

    Joined:
    30 Jun 2005
    Messages:
    41
    Likes Received:
    2
    Reputations:
    0
    Самая большая беда в этих чатах, это обход тотального игнора... Не обойти игнор поставленный админом тем же ником, единственный выход, менять ник... И так мы теряем любимые ники))) И ещё, там можно приваты читать, только вот как , я не знаю... Но однажды случилось так, что в общий чат попали все приватные сообщения всех пользователей....(админ ковырялся в чате)
     
  18. Антошка2003

    Антошка2003 Elder - Старейшина

    Joined:
    3 Apr 2005
    Messages:
    534
    Likes Received:
    66
    Reputations:
    49
    если устновлен мод, то вводи в чат /vprivon, т читаються приваты, вот только я не знаю с какими провами это можно включать.
     
  19. BymeR

    BymeR Elder - Старейшина

    Joined:
    25 Jul 2005
    Messages:
    34
    Likes Received:
    9
    Reputations:
    1
    Это зависит от настроек в файле msgpost там можно задать своё имя любому case,как тебе будет удобнее.
     
  20. Flame_of_Death

    Flame_of_Death New Member

    Joined:
    3 Dec 2005
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
    Это все ладно... Вот у мну был чат.. Его взломали.. Каким образом, сам пока не знаю!! Но, факт в том, что добрались и до панели и до фтп!! Хз как! Так вот, что хочу сказать.. Не в личных целях, а в челях защиты чатов на будущее... Расскажите мне о багах, а лучше скиньте описание и уязвимости на мыло [email protected] ! Я в php шарю вроде как, но не на таком уровне, чтоб все понять с ёту.. Прошу помощи!! =)
     
Thread Status:
Not open for further replies.