HOME    FORUMS    MEMBERS    RECENT POSTS    LOG IN  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Проверка на уязвимости
Перезагрузить страницу http://www.x2b.ru
   
 
Страница 2 из 3 < 1 2 3 >
 
Опции темы Поиск в этой теме Опции просмотра

  #11  
Старый 28.06.2009, 12:27
W@r.N0i$e
Участник форума
Регистрация: 02.06.2009
Сообщений: 143
Провел на форуме:
343507

Репутация: 114
По умолчанию
/usr/home/[...]/domains/x2b.ru/[...]/db.php
Вот.
P.S. Не знаю уязвимость или нет. Решай сам.
 

  #12  
Старый 29.06.2009, 00:03
eLWAux
Members of Antichat - Level 5
Регистрация: 15.06.2008
Сообщений: 941
Провел на форуме:
5111568

Репутация: 2399


Отправить сообщение для eLWAux с помощью ICQ
По умолчанию
если загрузить файл &lt;.txt , тогда ,при скачке, увидем не его название, а содержимое.
www.x2b.ru/get/54147
 

  #13  
Старый 29.08.2009, 01:55
Card3
Новичок
Регистрация: 15.11.2008
Сообщений: 24
Провел на форуме:
273240

Репутация: 59
Отправить сообщение для Card3 с помощью ICQ
Exclamation
Из критически вот:

Цитата:
http://www.x2b.ru/config
хоть и редирект на

Цитата:
http://www.x2b.ru:2222/
Раскрытие вроде:

Цитата:
http://www.x2b.ru/webmail/index.php?lid=bg&tid=aleborg&f_user=&six=&f_email=
Цитата:
http://www.x2b.ru/webmail/themes/clean/images/address/_vti_cnf/
- пример
Последний раз редактировалось Card3; 29.08.2009 в 01:59.. Причина: Уставший, сонный
 

  #14  
Старый 29.08.2009, 02:09
BlackSun
Members of Antichat - Level 5
Регистрация: 01.04.2007
Сообщений: 1,268
Провел на форуме:
10046345

Репутация: 4589


По умолчанию
Почистил ветку. Напоминаю о сушествовании правил раздела!
За использование автоматических сканеров - ТРОЙНАЯ КЛИЗМА В РЕПУ!
Последний раз редактировалось BlackSun; 31.08.2009 в 01:55..
 

  #15  
Старый 28.12.2009, 01:05
Byrger
Постоянный
Регистрация: 07.03.2008
Сообщений: 479
Провел на форуме:
791766

Репутация: 61
По умолчанию
Раскрытие путей
Код HTML:
http://www.x2b.ru/users/login.html
Поле password меняем на массив password[]

Заплатка
PHP код:
$password=(string)($_POST['password;]); 
 

  #16  
Старый 28.12.2009, 12:22
Root-access
Участник форума
Регистрация: 18.06.2008
Сообщений: 222
Провел на форуме:
2223440

Репутация: 648
Отправить сообщение для Root-access с помощью ICQ
По умолчанию
При регистрации меняем параметр логин на массив:
Код:
Warning: preg_match() expects parameter 2 to be string, array given in /[path]/users.php on line 46
Если же меняем поле имя или wmr на массив, имеем:
Код:
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /[path]/users.php on line 56
Warning: htmlspecialchars() expects parameter 1 to be string, array given in /[path]/users.php on line 58
 

  #17  
Старый 28.12.2009, 18:33
m0Hze
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214

Репутация: 3171


По умолчанию
http://www.x2b.ru/
Втыкиваем "Загрузить",файл грузиться,и даеться ссылка на довнлоад.мне кажетсья стоит сделать проверку на пустоту переменной с файлом =) некошерно
Добавлено
Можно закрыть папочку templates еще.
Последний раз редактировалось m0Hze; 28.12.2009 в 19:02..
 

  #18  
Старый 28.12.2009, 19:08
m0Hze
Он хакер.
Регистрация: 01.11.2008
Сообщений: 1,756
Провел на форуме:
6462214

Репутация: 3171


По умолчанию
Интересный способ найти раскрытие путей,никогда не юзал.
Открываем папочку templates/ и видим,что судя по конструкциям использованым в шаблонах,там используеться Smarty или ему подобные.Из того что я знаю о смарти,ему нужна папочка для компилированных шаблонов,и обычно эта папочка с приставкой _с в конце.Пробуем templates_c/ - видим там скомпилированные шаблоны.Открываем почти любой из них - ивидим раскрытие путей,связанное с тем,что в шаблонах(а у них расширение php) используеться $this->, это оставляет там шаблонизатор,а так как он там не проинклуден,получаем раскрытие.Ничего страшного,но это всеже раскрытие
Кваз,кинь .htaccess в обе папки,так будет по феншую.

/хм,интересно.гугел про такой вид поиска "уязвимостей",тобиш про шаблонизаторы и компилированные шабы ничего не сказал, кагбе новый способ ?_?/

<BlackSun>: какая милая и наивная надежда открыть что то новое ..

<m0Hze>:спасибо, кеп.

<Онотоле>: после "спасибо" необходима запятая.

<m0Hze>: Спасибо онотоле,ты реальне торт.
Последний раз редактировалось m0Hze; 30.12.2009 в 18:10..
 

  #19  
Старый 29.12.2009, 16:21
Qwazar
Leaders of Antichat - Level 4
Регистрация: 02.06.2005
Сообщений: 1,411
Провел на форуме:
10605912

Репутация: 4693


По умолчанию
Спасибо. При переезде .htaccess не везде где надо проставил.
__________________
Я отдал бы немало за пару крыльев,
Я отдал бы немало за третий глаз
За руку на которой четырнадцать пальцев
Мне нужен для дыхания другой газ..

Мой блог:http://qwazar.ru/.
 

  #20  
Старый 16.02.2010, 19:32
djazatik
Участник форума
Регистрация: 21.04.2009
Сообщений: 173
Провел на форуме:
1756993

Репутация: 249
Отправить сообщение для djazatik с помощью ICQ
По умолчанию
Всем добрый вечер.
При вводе текста вроде qwe и любого другого в этом роде в поле "место расположение файла" и нажатии кнопки загрузить, появляется следущее окно
и ничего больше не происходит.
Думаю это недостаток, так как человек может указывать путь к файлу вручную и допустить ошибку.
ЗЫ. Сильно не пинайте.
 
 
Страница 2 из 3 < 1 2 3 >



« Предыдущая тема | Следующая тема »


Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ