Прошу о помощи... В общем есть сессия и айпи админа... из ibf_sessions... если подставляю сессию в ./admin.php?adsess=<session> - не помогает, говорит что айпи не подходит, а айпи админа к этой сессии у меня есть... куда его вставить что бы админка опознала? Буду благодарен за помощь...
Говорят можно как то попасть... Вот только админка умная зараза, просто сессии правильной ей мало, она ее еще и с айпи сравнивает И ругается что мол айпи левый, сессия зарегистрирована на один, а Вы заходите с другого
абсолютно верно но в версиях 2.1 можно обойти проверку по айпишнику и войти, в 2.0 не знаю не проверял Вот тут http://forum.web-hack.ru/index.php?showtopic=39612&st=15 продается сплоит который создает нового админа как раз заходя в админку с сессией и айпишником. З.Ы. Видео не ждите =)
хм... проверяли... не создает говорит только что new admin created а на самом деле нет хотелось бы про саму уязвимость узнать, т.е. как возможно пролезть в админку зная сессию и ИП... и руками сделать...
создает-создает, только нужно чтоб админ в это время в админке находился. тоесть чтоб сессия какогонить админа была живой.
так в том то и дело, ловлю момент, админ в админке, сессию ловит, а админа не создает... говорит что мол новый админ создан, а на самом деле его нет
Заделился бы ктоб самым простым сплойтом что сессию угоняет или хеш угоняет, в ПМ бы кинул мне... уже обыскался и обпросился.
гы чувак, ты чёто путаешь.ты наверное про космо чат?=====,хотя парни там такое было- login.php?status=admin
