HOME FORUMS MEMBERS RECENT POSTS LOG IN  
× Авторизация
Имя пользователя:
Пароль:
Нет аккаунта? Регистрация
Баннер 1   Баннер 2
НОВЫЕ ТОРГОВАЯ НОВОСТИ ЧАТ
loading...
Скрыть
Вернуться   ANTICHAT > БЕЗОПАСНОСТЬ И УЯЗВИМОСТИ > Уязвимости > Уязвимости CMS / форумов
Перезагрузить страницу Data Life Engine форум - уязвимости?
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Data Life Engine форум - уязвимости?
  #1  
Старый 28.05.2007, 02:46
_Swat2k_
Новичок
Регистрация: 27.05.2007
Сообщений: 4
С нами: 9978644

Репутация: 0
Question Data Life Engine форум - уязвимости?
У нас в локалке есть один портал, ест-но хочится поломать
Вообщем портал стоит на Apache 1.3.37 используется PHP Version 4.4.7.Движок портала Data Life Engine форум тоже на этом же движке. БД mysql или mssql.
Есть phpmyadmin 2.10.0.2 но все уязвимости обламываются из за того что вылезает назойливое окно и просит ввести логин и пароль . Также на этом портале есть другие вещи например top-10 (сайт статистики) при заходе на этот сайт он выдаёт
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in f:\server\apache\htdocs\stat.php on line 23
но sql-inj почемуто не прокатывает идёт редирект на index.php
Какие уязвимости есть у этого добра?
ps.1)Сайт статистики на движке weboffice
𝕏 Twitter Reddit Telegram Копировать ссылку
 
Ответить с цитированием

  #2  
Старый 28.05.2007, 09:56
imper
Новичок
Регистрация: 15.04.2007
Сообщений: 5
С нами: 10038261

Репутация: 0
По умолчанию
Цитата:
Сообщение от _Swat2k_  
У нас в локалке есть один портал, ест-но хочится поломать
Вообщем портал стоит на Apache 1.3.37 используется PHP Version 4.4.7.Движок портала Data Life Engine форум тоже на этом же движке. БД mysql или mssql.
как говорится сцылку ... скорее всего mssql стоит.
Цитата:
f:\server\
Цитата:
Сообщение от _Swat2k_  
Есть phpmyadmin 2.10.0.2 но все уязвимости обламываются из за того что вылезает назойливое окно и просит ввести логин и пароль . Также на этом портале есть другие вещи например top-10 (сайт статистики) при заходе на этот сайт он выдаёт
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in f:\server\apache\htdocs\stat.php on line 23
но sql-inj почемуто не прокатывает идёт редирект на index.php
Какие уязвимости есть у этого добра?
ps.1)Сайт статистики на движке weboffice
поставь на брут вход в phpmyadmin логин скорее всего это название сайта, а пасс 8 - 9 символов
 
Ответить с цитированием

  #3  
Старый 28.05.2007, 10:06
_Swat2k_
Новичок
Регистрация: 27.05.2007
Сообщений: 4
С нами: 9978644

Репутация: 0
По умолчанию
Сцылку? Я же сказал что это у нас в локалке... Хотя могу чё нить придумать
Если у кого то есть предложения милости прошу в icq:443-553-352
 
Ответить с цитированием

  #4  
Старый 28.05.2007, 10:06
blackybr
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
С нами: 10516826

Репутация: 3742


По умолчанию
Поиск: Ключевые слова: Уязвимости, DataLife
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
 
Ответить с цитированием

  #5  
Старый 28.05.2007, 10:15
imper
Новичок
Регистрация: 15.04.2007
Сообщений: 5
С нами: 10038261

Репутация: 0
По умолчанию
Вот сплойты
http://www.milw0rm.com/exploits/1939 на php
http://www.milw0rm.com/exploits/1938 на perl
вообще хорошо бы узнать версию тогда уже искать
 
Ответить с цитированием

  #6  
Старый 28.05.2007, 10:24
_Swat2k_
Новичок
Регистрация: 27.05.2007
Сообщений: 4
С нами: 9978644

Репутация: 0
По умолчанию
Copyright © 2006-2007. SoftNews Media Group All Rights Reserved
Всё что я смог найти визуально.Сплоиты не работают.
SQL-Inj которую нашёл на www.securitylab.ru тоже не работает пишет Hacking Attemp !
Оффтоп:Как заставить сервер выполнить php сценарий?
Последний раз редактировалось _Swat2k_; 28.05.2007 в 10:41..
 
Ответить с цитированием

  #7  
Старый 28.05.2007, 10:41
imper
Новичок
Регистрация: 15.04.2007
Сообщений: 5
С нами: 10038261

Репутация: 0
По умолчанию
DataLife Engine - критическое обновление безопасности для всех версий
Степень опасности: средняя
Проблема: Недостаточный контроль уровня доступа в модуле персональных сообщений.
18 мая 2007 выпущено обновление устраняющее проблемы безопасности модуля персональных сообщений
http://dle-news.ru/
Так что может он пропачет, это зависит от того когда ставили. Вообщем двиг платный, так что вряд ли кто будет в локалке обновлять что то за платно.
http://www.220w.org/ =>>поиск DataLife Engine, да и пользуйся гуглом.
может что найдешь в двиге
Цитата:
Оффтоп:Как заставить сервер выполнить php сценарий?
оффтоп, через баги в php, может в двиге, может в самом инпретаторе
Последний раз редактировалось imper; 28.05.2007 в 10:49..
 
Ответить с цитированием

  #8  
Старый 28.05.2007, 10:43
_Swat2k_
Новичок
Регистрация: 27.05.2007
Сообщений: 4
С нами: 9978644

Репутация: 0
По умолчанию
А сплоиты есть? Или как вручную поковырять?
Последний раз редактировалось _Swat2k_; 28.05.2007 в 10:45..
 
Ответить с цитированием

  #9  
Старый 28.05.2007, 10:56
n1†R0x
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
С нами: 10160966

Репутация: 1719


По умолчанию
Цитата:
Сообщение от imper  
как говорится сцылку ... скорее всего mssql стоит.
и часто теперь сценарий, использующий mssql, содержит mysql_fetch_array()?
по винде судить не стоит, это раз.. во-вторых, ни разу не видел apache + mssql
 
Ответить с цитированием

  #10  
Старый 09.01.2008, 09:55
Soviet[HZ]
Познающий
Регистрация: 20.07.2007
Сообщений: 53
С нами: 9900186

Репутация: 100
По умолчанию
В третьих, есть большая вероятность, что там где то инклуд.
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



Предыдущая тема Следующая тема
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
Inlcude Protection In Data Life Engine netadmin Уязвимости 4 25.01.2007 19:31
Подскажите Chrek625 Болталка 6 11.01.2007 21:46



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT ™ © 2001- Antichat Kft.