ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2
Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей. Здесь обсуждаются безопасность, программирование, технологии и многое другое. Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Уязвимости > Форумы
Перезагрузить страницу Подскажите уязвимости на форумах offtop.ru
   
Ответ
 
Опции темы Поиск в этой теме Опции просмотра

Подскажите уязвимости на форумах offtop.ru
  #1  
Старый 26.05.2006, 17:02
Аватар для Undernative
Undernative
Постоянный
Регистрация: 16.05.2006
Сообщений: 449
Провел на форуме:
3383265

Репутация: 843
Отправить сообщение для Undernative с помощью ICQ Отправить сообщение для Undernative с помощью Yahoo
Question Подскажите уязвимости на форумах offtop.ru
Драсти...скажите кто нибудь ломал форумы offtop.ru ?
Если да не могли бы подсказать как ? Да и вообще ,на КАКОМ ДВИЖКЕ ОН НАПИСАН ? он самописный что ли ?
За ранее спасибо
 
Ответить с цитированием

  #2  
Старый 27.08.2006, 17:52
Аватар для k1b0rg
k1b0rg
Тут может быть ваша реклама.
Регистрация: 30.07.2005
Сообщений: 1,243
Провел на форуме:
4520553

Репутация: 1316


По умолчанию
Движок самописный.
Думал я там создать форум, а через админку залить шелл и посмотреть что там за система. Перым делом полез в редактирование шаблонов. Смотрю какая то сцылка похожа на инклуд. Думаю дай чо-нить нехорошее задумаю. Задумал. Вообщем, результат моих шаловливых рук, такой что после меня на форумах offtop.ru работали тока главные страницы, при переходе на другие выскакивали ошибка с файлом конфига. Получил сурсы и листинг файлов. Но к сожалению, сурсы я ступил и не скачал.
листинг
Цитата:
/home/offtop/htdocs/ad/
list_rating.php
.htaccess
css.css
header_admin.inc
contact.php
search.php
rule.php
reg_ok.php
reg_activate.php
rating.php
news.php
index.php
email_activate.php
delmllist.php
reg.php
adv.php
footer.inc
header.inc top_menu.php
mail.func
types.php
mysql.php
auth.php
auth_form.php
chapter.db
exit.php
header1.inc
help_code.php
help_code.shtml
list_rating.php
mainfunc.func
new10.php
reg_chapter.php
stat_forums.php
stat_posts.php
stat_users.php
top_menu1.php
vhost.php
list_site.db
stat_forums.png
stat_users.png
stat_posts.png
backup
faq.php
wap.php
stat.php
iclx.php
favicon.ico
redir.php
auth_form_admin.php
auth_form_moder.php
 
Ответить с цитированием

  #3  
Старый 25.10.2006, 17:51
Аватар для n-000
n-000
Участник форума
Регистрация: 25.10.2006
Сообщений: 108
Провел на форуме:
495411

Репутация: 91
Отправить сообщение для n-000 с помощью ICQ
Cool
В этих форумах для взлома я использовал XSS!
Принцып был прост ... т.к. в нужном мне форуме было много модеров я вставил в тело форума плавающий фрейм ... содержание фрейма фсего нафсего была моя пага с содраным дизом афторизации в этом форуме.
Тоесть када чел заходил ф топик с которым я немного поработал прерд ним горела надпись ТОЛЬКО ДЛЯ ЗАРЕГЕСТРИРОВАНЫХ... и форма для пасса, ну а дальше фсё просто - это небольшой php скрипт который считывал IP и поля с пасом и логином, запоминал их в файлик ну а дальше редиректил на любой другой топик...
Таким образом я получил несколько модераторских пасов, чтоб фсё осталось без палева удалил свои мессаги... теперь могу коректировать и удалять =) любые посты...
 
Ответить с цитированием

  #4  
Старый 26.10.2006, 07:59
Аватар для degeneration x
degeneration x
Познающий
Регистрация: 11.10.2005
Сообщений: 97
Провел на форуме:
732018

Репутация: 117
По умолчанию
Когда последний раз искал баги, там была активная хсс.

Код:
[img]javascript:alert()[/img]
 
Ответить с цитированием

  #5  
Старый 27.10.2006, 07:27
Аватар для n-000
n-000
Участник форума
Регистрация: 25.10.2006
Сообщений: 108
Провел на форуме:
495411

Репутация: 91
Отправить сообщение для n-000 с помощью ICQ
По умолчанию
да, оно самое -)
Вот только иногда пачмуто эта безотказная Xss не всегда работает...
Я так чуть не спалился - зарегал я се форум на оффтопе для экспериментоф ... там всё как часы тикало, карейские правдо но я не об этом =)
А вот када скопировал всё в топик на другом форуме, то весь скрипт пошёл по бороде... вовремя спахватившысь исправил ! а вообще можно попробывать с помощью Xss прилинковать свой Js скрипт и например считывать буфер обмена фсех зашедших =)
Оч часто из буфера можно узнатьинтересные весчи, не только скопированый пасс

З.Ы.
Ещё есть такой вот интересный код
Код:
[ IMG ][ URL=style=background:url(javascript:alert());][/URL ][/IMG ]
После его выполнения оказываеца некому ненужная кавычка и закрывающая скобка -)
Последний раз редактировалось n-000; 27.10.2006 в 07:46..
 
Ответить с цитированием

  #6  
Старый 18.02.2007, 09:58
Аватар для Tcl70
Tcl70
Познающий
Регистрация: 02.05.2006
Сообщений: 44
Провел на форуме:
122127

Репутация: 9
По умолчанию
a est' 4enit' ponovej ?
 
Ответить с цитированием

  #7  
Старый 19.02.2007, 15:50
Аватар для hack-xss
hack-xss
Новичок
Регистрация: 19.02.2007
Сообщений: 1
Провел на форуме:
1425

Репутация: 0
По умолчанию
У кого еще какой опыт был, поделитесь очень интересует!!
 
Ответить с цитированием

  #8  
Старый 12.04.2007, 20:01
Аватар для kazaam
kazaam
Новичок
Регистрация: 07.05.2006
Сообщений: 4
Провел на форуме:
20315

Репутация: 0
Отправить сообщение для kazaam с помощью ICQ
По умолчанию
Пожалуйста узнайте какие в данный момент еще есть уязвимости на оффтопе, желтаельно те которые еще не устранили.
 
Ответить с цитированием
Ответ



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Подскажите уязвимости phpBB на PHPNuke L1on Форумы 8 23.05.2006 05:19
подскажите имеются ли уязвимости в чате stalles Чаты 0 20.07.2005 09:25
Подскажите работающие Прокси!!! ZzSnakezZ Чаты 4 10.03.2005 23:10
Действующие уязвимости почтовых систем РФ Maxmen E-Mail 16 12.12.2004 16:48
Взлом wmshop Xalegi Уязвимости 0 29.11.2004 01:44



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ