Прошу о помощи...
В общем есть сессия и айпи админа... из ibf_sessions... если подставляю сессию в ./admin.php?adsess=<session> - не помогает, говорит что айпи не подходит, а айпи админа к этой сессии у меня есть... куда его вставить что бы админка опознала?
Буду благодарен за помощь...

С сесиями в админку не поподёш нужен пароль админа.

С сесиями в админку не поподёш нужен пароль админа.

попадешь

попадешь
гы ну попади.... сними видео как ты туда попадёш с сесией а мы посмотрим...

попадешьс этого места поподробнее =)

попадешь


Обоснуй, спасибо.

попадешь



Да ладно чё вы, чел прикольнулся- это его первое сообщение

Говорят можно как то попасть...
Вот только админка умная зараза, просто сессии правильной ей мало, она ее еще и с айпи сравнивает :( И ругается что мол айпи левый, сессия зарегистрирована на один, а Вы заходите с другого :(

Говорят можно как то попасть...
Вот только админка умная зараза, просто сессии правильной ей мало, она ее еще и с айпи сравнивает :( И ругается что мол айпи левый, сессия зарегистрирована на один, а Вы заходите с другого :(

абсолютно верно
но в версиях 2.1 можно обойти проверку по айпишнику и войти, в 2.0 не знаю не проверял
Вот тут http://forum.web-hack.ru/index.php?showtopic=39612&st=15 продается сплоит который создает нового админа как раз заходя в админку с сессией и айпишником.

З.Ы. Видео не ждите =)

хм... проверяли... не создает :(
говорит только что new admin created а на самом деле нет :(
хотелось бы про саму уязвимость узнать, т.е. как возможно пролезть в админку зная сессию и ИП... и руками сделать...

хм... проверяли... не создает :(
говорит только что new admin created а на самом деле нет :(
хотелось бы про саму уязвимость узнать, т.е. как возможно пролезть в админку зная сессию и ИП... и руками сделать...

тогда спроси у того у кого покупал сплоит
если у автора т.е. у меня то расскажу

А бесплатно подсказать ни у кого желания нету? :)

А бесплатно подсказать ни у кого желания нету? :)

хотите бесплатно - ищите возможности сами

создает-создает, только нужно чтоб админ в это время в админке находился. тоесть чтоб сессия какогонить админа была живой.

А бесплатно подсказать ни у кого желания нету? :)

вообще стукни в ПМ
инфу на инфу обменяемся ;))

создает-создает, только нужно чтоб админ в это время в админке находился. тоесть чтоб сессия какогонить админа была живой.

так в том то и дело, ловлю момент, админ в админке, сессию ловит, а админа не создает... говорит что мол новый админ создан, а на самом деле его нет :(

Заделился бы ктоб самым простым сплойтом что сессию угоняет или хеш угоняет, в ПМ бы кинул мне... уже обыскался и обпросился.

попадешь


гы чувак, ты чёто путаешь.ты наверное про космо чат?=====,хотя парни там такое было- login.php?status=admin

гы чувак, ты чёто путаешь.ты наверное про космо чат?=====,хотя парни там такое было- login.php?status=admin

нет
я про IPB

малолетки вы, что сказать.
resp wolf,driver

xbIx

Если ты некому этот слоит не даёш а это зря ) то может тогда я тебе закину один форум и протестируеш на нём ?

xbIx

Если ты некому этот слоит не даёш а это зря ) то может тогда я тебе закину один форум и протестируеш на нём ?

я что сканер безопасности? покупай сплоит и обтестируйся

Если я бы мог купить я бы не обратился бы к тебе, из за одного форума платит 100 баксов нехочится.

xbIx

Если ты некому этот слоит не даёш а это зря ) то может тогда я тебе закину один форум и протестируеш на нём ?


Могу оспорить твои слова, это приват сплойт и стоит он 100 бачек. нужно - купи, оно того стоит, а так, какой смысл вообще сплоиты делать? в публик его кинул, все про форумы сразу тикет в ипб саппорт кинули с кодом сплоита, и вуаля, встречаем ипб 2.1.7, а кому это нужно? между прочим народ это пишет ручками, я если бы написал такое, я бы тоже публик не дал.

Вульфик под пхпББ всё еще ничего нету? ))

Вульфик под пхпББ всё еще ничего нету? ))

фрозик =) нету ;)

ыы придётся самому делать ))) если что за помощью стукну )))