PDA

Просмотр полной версии : megahyiptracer.com - проверьте плз

dokwill
09.07.2007, 12:16
вот мой сайт проверьте плиз
буду благодарен
megahyiptracer.com
и 2 -й
http://www.megahyiptracer.com/hybann/h/
с ним давно мучаюсь
гдето скуел дыра

прошу помоши
Isis
09.07.2007, 17:12
Открыта папка http://www.megahyiptracer.com/hybann/
Там лежит красивый файл mybesthell.php, к которому наверняка подходят дефолтные данные...
Шелл от пхп.су

Так вроде нашел что-то типа xss....
Yj выковрять сложно т.. striptags =\
http://www.megahyiptracer.com/hybann/h/
В своем профиле при изменении имени
'/>Zdes' est' striptags? =\
dokwill
09.07.2007, 20:37
ссылка античата слева в партнерке
шелл мой - тестировал недавно

тип xss....
не интересует
1 - там и так идет сбор кук всех мимоходящих - так программеры развлекались - сам нашел недавно
поменял адрес на свой сниф и усе.
2 - там хеш такой что не открыть просто так
и в кукак он каждый раз разный
сам скрипт сдесь
http://www.megahyiptracer.com/hybann/h/hyip_script.zip
кстати в нем много чего интересного для каждого
админа - я лично забрал оттуда
1 -подсчет онлайн визиторов,
2 - спам по датабазе мыл (пишеш - нажимаеш и привет)
3 - зашита админки - проверка по айпи
при каждом заходе - мыло - ктото зашел в админку
листинг директорий по умолчанию всегда открыт
http://www.megahyiptracer.com/hybann/h/inc/admin
http://www.megahyiptracer.com/hybann/h/inc/libs
http://www.megahyiptracer.com/hybann/h/inc/libs/core
http://www.megahyiptracer.com/hybann/h/inc/libs/plugins/
mysql не видно случайно ?
tbody
11.08.2007, 03:05
Sql Injection

В поле Search Programs

запрос вида 123' выдает

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13

Налицо SQL - дальше копать не стал, а надо?
George767
12.08.2007, 11:13
Неужели еще кто-то ведется на hyip сайты-однодневки? А сайты с "мониторингом" ничто иное как обман ибо пишут мол надежный hyip платит стабильно, существует давно, хотя на самом деле...

А насчет script kiddies (подстановка опасных запросов) - просто используй htaccess вида:

RewriteRule ^xz/([0-9]{3})-([0-9]{6}).html$ xz/xz/index.php?id=$1&id_2=$2

и проблем никогда не будет

Листинг директорий тоже с помощью htaccess закрой