Doat Admin Phpbb
This document was uploaded by user and they confirmed that they have the permission to share it. If you are author or own the copyright of this book, please report to us by using this DMCA report form. Report DMCA
Overview
Download & View Doat Admin Phpbb as PDF for free.
More details
- Words: 275
- Pages: 1
Lỗi trong phpBB 1.4.x có phép đoạt quyền Admin : trang này đã được đọc
lần
Các forum phpBB 1.4.x có một lỗi rất nghiêm trọng cho phép một user bình thường có thể chạy đoạn lệnh cho phép cập nhật vài thông tin trong preferences để có được quyền admin. Một trong số lỗi được tìm thấy trong đoạn code sau: < Example sql query in prefs.php > $sql = "UPDATE users SET user_viewemail='$viewemail', user_theme='$themes', user_attachsig = '$sig', user_desmile = '$smile', user_html = '$dishtml', user_bbcode = '$disbbcode', user_lang = '$lang' WHERE (user_id = '$userdata[user_id]'"; Để khai thác, ta chạy lệnh modify prefereces trong file prefx.php, bằng cách xác định một giá trị cụ thể cho biến viewemail. Vd sau sẽ đặt cho một username maxx có quyền admin (privilege level 4): http://sitename/phpBBfolder/prefs.php?save=1&viewemail=1',user_level%3D'4'%20w here%20username%3D'maxx'%23 Lệnh này sẽ chạy lệnh sql cập nhật thông tin về viewemail đồng thời cả user_level. Như vậy, các bước cần thiết để thử test hack một forum dạng này như sau: - Đăng kí 1 acc - Login vào với acc vừa đăng kí - Chạy link ở vd trên - Nếu thiết lập preferences thành công (ko báo lỗi), bạn return lại forum index và vào Administration Panel ở cuối forum. Lưu ý có một vài forum sau khi set preferences thành công, vẫn ko thấy Administration Panel, bạn có thể thử vào theo link sau: /phpBBfolder/admin/index.php (như forum pregnancy.org ở dưới) Một vài forum thử nghiệm: http://tuxedox2.dyndns.org/phpBB/index.php http://www.pregnancy.org/phpBB/index.php http://webraovat.com/phpBB/ Các bạn có thể tìm thêm các forum phpBB 1.4.x chưa fix trên net, search theo từ khóa ví dụ như: "powered phpbb 1.4.0"
lần
Các forum phpBB 1.4.x có một lỗi rất nghiêm trọng cho phép một user bình thường có thể chạy đoạn lệnh cho phép cập nhật vài thông tin trong preferences để có được quyền admin. Một trong số lỗi được tìm thấy trong đoạn code sau: < Example sql query in prefs.php > $sql = "UPDATE users SET user_viewemail='$viewemail', user_theme='$themes', user_attachsig = '$sig', user_desmile = '$smile', user_html = '$dishtml', user_bbcode = '$disbbcode', user_lang = '$lang' WHERE (user_id = '$userdata[user_id]'"; Để khai thác, ta chạy lệnh modify prefereces trong file prefx.php, bằng cách xác định một giá trị cụ thể cho biến viewemail. Vd sau sẽ đặt cho một username maxx có quyền admin (privilege level 4): http://sitename/phpBBfolder/prefs.php?save=1&viewemail=1',user_level%3D'4'%20w here%20username%3D'maxx'%23 Lệnh này sẽ chạy lệnh sql cập nhật thông tin về viewemail đồng thời cả user_level. Như vậy, các bước cần thiết để thử test hack một forum dạng này như sau: - Đăng kí 1 acc - Login vào với acc vừa đăng kí - Chạy link ở vd trên - Nếu thiết lập preferences thành công (ko báo lỗi), bạn return lại forum index và vào Administration Panel ở cuối forum. Lưu ý có một vài forum sau khi set preferences thành công, vẫn ko thấy Administration Panel, bạn có thể thử vào theo link sau: /phpBBfolder/admin/index.php (như forum pregnancy.org ở dưới) Một vài forum thử nghiệm: http://tuxedox2.dyndns.org/phpBB/index.php http://www.pregnancy.org/phpBB/index.php http://webraovat.com/phpBB/ Các bạn có thể tìm thêm các forum phpBB 1.4.x chưa fix trên net, search theo từ khóa ví dụ như: "powered phpbb 1.4.0"
Related Documents
Doat Admin Phpbb
May 2020 7
Doat Quyen Admin O Mambo Site Server
May 2020 8
Admin
June 2020 30
Admin
November 2019 57
Admin
May 2020 49