Пока не удалят :fuck: Думаю если ты базу юзать не будешь, никто тебя не заметёт <_<
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Уязвимости: phpBB
- Автор темы n1†R0x
- Дата начала
Вот именно что хочется её заюзать.. Уже все пассы расшифровал..
ИМХО, если проект не сильно крупный, и за ним не стоит какой-нить большой дядька =) тогда можешь забить на это. По поводу взлома тебя будут искать ТОЛЬКО в случае, если было подано заявление в органы. Без него менты пальцем не пошевелят, а я очень сильно сомневаюсь, что админ небольшого проекта будет писать заяву или искать сам :yahoo:
Сайт русский, а я из Кишинёва (т.е. 1000к,. от Москвы)..
Хы, я как-то не помню, где находится Кишинев, вроде это не Россия, или я ошибаюсь?
Я не совсем понял фразы "я обычно юзал" - т.е. ты был постояльцем этого форума, т.е. обитал там? если да, то админ без проблем вычислит твой ник, и возможно данные для связи с тобой (если ты оставлял при регистрации мыло, асю и т.д.)
Ты не-так понял. Я юзал Прокси когда хакал другие форумы, а в этот раз я и не ожидал что он бажным окажется, да и торопился малёха. Но подменив куки я зашел как админ.. ну как же этим не воспользоваться? :blink: вот и слил БД.. кажись у мя там и юзера нету))
А ну в таком случае, я думаю, все намано будет. Если админ не шизик, то он вряд ли будет проверять, кто и когда входил в админку. Тем более по логам будет значиться, что входил он (его кукисы.) Разве что IP другой. ИМХО, на такое админ вряд ли обратит внимание. :lol2:
xhost
имхо не стоит беспокоиться. не все админы (далеко не все
) читают логи ежедневно вместо газеты и смотрят кто и когда входил в админку
имхо не стоит беспокоиться. не все админы (далеко не все
) читают логи ежедневно вместо газеты и смотрят кто и когда входил в админкуВот и я о том же. Даже когда я админил один форум, то просматривал скорее еррор-логи (которые чаще возникают при взломе ИМХО), чем тот же самый лог входов в админку.
ну нет. в пхп вообще редко возникает ошибка сервера (а в error.log пишутся только ошибки сервера, ошибки интерпретатора просто выводятся с HTTP 200 OK), поэтому в error.log мало что интересного можно найти.
кстати, я просматриваю ежедневно access.log на этом портале
лог акцесов я просмотривал около раза в неделю, и ничего интересного практически не находил :cry2:
Хз, пару раз я находил уязвимости в движке с помощью еррор лога :lol2:
я ежедневно смотрю access.log и угораю над киддисами
пример тому - смотри тему Что за х*р?:diablo: Так, господа хорошие, оффтоп закончили...уже страницы 2 идет треп не по теме (а она, напомню, про уязвимости phpBB) :excl:
Здравствуйте!
А реально ли найти какой-то эксплойт, работающий под phpBB 2.0.16 (версия PHP 5.0.5, globals=off), не использующий XSS?
Обыскал весь инет, есть только XSS, а это использовать совсем не хочется по ряду причин (думаю, что форум вообще не читается админом, да и засвечивается в большей степени).
phpBB Style Changer\Viewer MOD SQL injection Exploit не работает, видимо, версия немного рановата.
phpBB <= 2.0.17 remote command execution exploit не работает, так как PHP не той версии и глобался отключены.
Может быть, посоветует кто-то что-то новое???
Заранее спасибо
А реально ли найти какой-то эксплойт, работающий под phpBB 2.0.16 (версия PHP 5.0.5, globals=off), не использующий XSS?
Обыскал весь инет, есть только XSS, а это использовать совсем не хочется по ряду причин (думаю, что форум вообще не читается админом, да и засвечивается в большей степени).
phpBB Style Changer\Viewer MOD SQL injection Exploit не работает, видимо, версия немного рановата.
phpBB <= 2.0.17 remote command execution exploit не работает, так как PHP не той версии и глобался отключены.
Может быть, посоветует кто-то что-то новое???
Заранее спасибо
Почитал вашу тему. Вижу только эксплоиты под разные моды.
А если модов нет, что делать? Взять к примеру этот форум. Можно ли его взломать? Причём не тупо загадить, заDOSить или блокировать, а именно извлечь инфу? (MD5 на расшифровку пароля для дальнейшего использования на другом проекте уже под vBulletin 3.5.4).
А если модов нет, что делать? Взять к примеру этот форум. Можно ли его взломать? Причём не тупо загадить, заDOSить или блокировать, а именно извлечь инфу? (MD5 на расшифровку пароля для дальнейшего использования на другом проекте уже под vBulletin 3.5.4).
Всем привет!Перепробовал все уязвимости которые описанны в этой теме.И не одна не подходит вот для этого форума.Странно,но версия этого форума ниже 2.0.19.Даже там есть SQL Injection.Но попробовав все эксплойты на этой странице не один не срабатывает.Подскажите пожалуйста что можно попробовать?
Взять и сделать инъекию руками <_<
Неумею!Научите. плизз.
требуется: прямые руки, мозги.
процедура: берем прямые руки, применяем мозги и используем.
а реально, читай сначала книжки по MySQL. я ненавижу людей, которые нифига не знают, но подсунув строчку UNION SELECT гордятся, что они кулхацекеры
процедура: берем прямые руки, применяем мозги и используем.
а реально, читай сначала книжки по MySQL. я ненавижу людей, которые нифига не знают, но подсунув строчку UNION SELECT гордятся, что они кулхацекеры
при юзанье сплойта r57phpbba2e2 появляется вот такое окошко^^^^
че за команды нада вписать чтобы получить админку, если не хотите писать полный ответ, намекните плиз) :help: :bang: Спс, за ранее :yahoo: