Ipb 2.1.6 - попасть админку зная сессию
 

Прошу о помощи...
В общем есть сессия и айпи админа... из ibf_sessions... если подставляю сессию в ./admin.php?adsess=<session> - не помогает, говорит что айпи не подходит, а айпи админа к этой сессии у меня есть... куда его вставить что бы админка опознала?
Буду благодарен за помощь...

С сесиями в админку не поподёш нужен пароль админа.

попадешь

гы ну попади.... сними видео как ты туда попадёш с сесией а мы посмотрим...

с этого места поподробнее =)

Обоснуй, спасибо.

Да ладно чё вы, чел прикольнулся- это его первое сообщение

Говорят можно как то попасть...
Вот только админка умная зараза, просто сессии правильной ей мало, она ее еще и с айпи сравнивает :( И ругается что мол айпи левый, сессия зарегистрирована на один, а Вы заходите с другого :(

абсолютно верно
но в версиях 2.1 можно обойти проверку по айпишнику и войти, в 2.0 не знаю не проверял
Вот тут http://forum.web-hack.ru/index.php?showtopic=39612&st=15 продается сплоит который создает нового админа как раз заходя в админку с сессией и айпишником.

З.Ы. Видео не ждите =)

хм... проверяли... не создает :(
говорит только что new admin created а на самом деле нет :(
хотелось бы про саму уязвимость узнать, т.е. как возможно пролезть в админку зная сессию и ИП... и руками сделать...