Обсуждение статьи: "Уязвимости форумов phpBB"

это сплоит???ты что ???

 

Это кажись куки,а не сплойт.

 

Нда, шутку оценили не все... ;]

Ето плоит который является значением кука.

-------------------------------------------------------

А статья и правда супер. Сенкс авторам.

 

Может поспорим? Информация вся проверена и рабочая.

 

Народ, извините, может сейчас флеймовый будет немного пост, но имхо он тут в тему будет.
Короче, захожу сегодня утром на свой форум, смотрю, там какой-то спамер несколько тем пофлудил. "Купи игральный аппарат- столбик! - Заработай денег" и ссылки. Ну, поудалял я это, юзера удалил, думаю ничего, бывает. Но через час он опять зарегился, накидал рекламы. А я опять удалил, даже на его сайт не пошел (некогда было). А сейчас модеры говорят, что он опять там был и опять свои игральные аппараты предлагал, хотя уже ясно, что никому они на нашем форуме не нужны. Решил на его сайт взглянуть, а там - в полный рост продажа игровых автоматов, которыми сейчас вся Москва заставлена и форум - пхпбб. Форум попроверял чуть-чуть - это версия 18 или ниже. Подробнее не смотрел, там региться надо. Сначала от злости хотел ломануть. Во-первых спамеры они и флудеры, во вторых в их идиотские автоматы дети и пенсионеры деньги просаживают. Уже даже закон готовится - запретить их. Но потом подумал - тут ведь на ачате как раз статья замечательная по пхпбб 18 и ниже. Статья есть, а где практиковаться? Рыскать по гуглу и нормальные форумы крушить? Нехорошо. Так что выкладываю тут ссылку, может кто захочет потренироваться. Тем более, что версия подходящая. Короче, w ww.on 1.ru (пробелы уберите).

 

Пардон. Не сообразил. Теперь вспомнил=) Пить мне меньше надо.

Syntacsis не ленись!
Там XSS работает.

 

Ты меня не понял! Я просто выложил этот сайт, если кому понадобится проверить данные, изложенные в статье. Чтобы не пришлось подходящий форум искать. А я знаю, что на этом форуме пройдет, а что нет.

Еще добавление к статье небольшое:
Как узнать версию пхпбб за 5 минут? (19, 18 или 17)
1. Ставим в адресную строку такой адрес: http://www.ваш_сайт.ru/форум/admin/admin_disallow.php?setmodules=00
Если выдаст: Fatal error: Call to undefined function: append_sid()... то это версия НИЖЕ 2.0.19
В любом другом случае это версия 2.0.19

2. Регимся на форуме, ставим автологин, ставим код хсс WJ в сообщение, нажимаем предросмотр. Если в собственных куках на снифер приходит хэш пароля, то это версия НИЖЕ 2.0.18. Если приходит что-то вида 1594701932437793947762e4.02269531, то это 18.

Можно и определить где 17, а где ниже, но это имхо не интересно. А версии что еще ниже на самом форуме указываются.
p/s были советы еще для определения версии посмотреть CHANGELOG форума. но это неправильно. так версию не узнать и даже можно получить неверную информацию, не поняв, что именно там указано.

 

Да, абсолютно правильно! я тоже кадато щитал, что можна так посмотреть версию, но однажди наткнулся на форум, внизу писало 2.0.5)))) И в Changelog"е тоже 2.0.5 стояло)
Но када перепробовал на все уязвимости вплоть до 2.0.18 то понял что админ круто всех надул))

 

Сражу попрошу сильно не пинать
Плз, выложите работающий под 2.0.17 от РСТ, т.к. я перле не секу.

 

планируется ли подобная статья для vBulletin?

 

The page is dead (404), can someone upload the tutorial please ?

 

чё та не могу никак определить версию http://drugspace.ru/forum/.
Подскажите ламеру!

 

А что на счет phpbb 2.0.11 там такой же эксплоит что и в 2.0.12 или нет ?????

 

Перезалейте видео( ибо к некоторым уязвимостям только видео прилагается. Ни у кого не завалялось видео для phpBB 2.0.10 (цель:2) ?

 

Короче существует такой ресурс www.torrents.vsi.ru как узнать какая версия phpBB использована.

 

Доступ запрещен

--------------------------------------------------------------------------------
Возможные причины:
1. Вы не являетесь клиентом ОАО ЦентрТелеком (Воронежский филиал).
2. Вы используете proxy-сервер.
3. Вы используете dialup-подключение.
4. Вы нарушили правила пользования ресурсом

Поиши на форуме про определение версии