Antichat снова доступен.
Форум Antichat (Античат) возвращается и снова открыт для пользователей.
Здесь обсуждаются безопасность, программирование, технологии и многое другое.
Сообщество снова собирается вместе.
Новый адрес: forum.antichat.xyz
 |
|
Data Life Engine форум - уязвимости? |
28.05.2007, 02:46
|
|
Новичок
Регистрация: 27.05.2007
Сообщений: 4
Провел на форуме:
10617
Репутация:
0
|
|
Data Life Engine форум - уязвимости?
У нас в локалке есть один портал, ест-но хочится поломать 
Вообщем портал стоит на Apache 1.3.37 используется PHP Version 4.4.7.Движок портала Data Life Engine форум тоже на этом же движке. БД mysql или mssql.
Есть phpmyadmin 2.10.0.2 но все уязвимости обламываются из за того что вылезает назойливое окно и просит ввести логин и пароль  . Также на этом портале есть другие вещи например top-10 (сайт статистики) при заходе на этот сайт он выдаёт
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in f:\server\apache\htdocs\stat.php on line 23
но sql-inj почемуто не прокатывает идёт редирект на index.php
Какие уязвимости есть у этого добра?
ps.1)Сайт статистики на движке weboffice |
|
|
28.05.2007, 09:56
|
|
Новичок
Регистрация: 15.04.2007
Сообщений: 5
Провел на форуме:
45645
Репутация:
0
|
|
Сообщение от _Swat2k_
У нас в локалке есть один портал, ест-но хочится поломать
Вообщем портал стоит на Apache 1.3.37 используется PHP Version 4.4.7.Движок портала Data Life Engine форум тоже на этом же движке. БД mysql или mssql. как говорится сцылку ... скорее всего mssql стоит.
Сообщение от _Swat2k_
Есть phpmyadmin 2.10.0.2 но все уязвимости обламываются из за того что вылезает назойливое окно и просит ввести логин и пароль . Также на этом портале есть другие вещи например top-10 (сайт статистики) при заходе на этот сайт он выдаёт
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in f:\server\apache\htdocs\stat.php on line 23
но sql-inj почемуто не прокатывает идёт редирект на index.php
Какие уязвимости есть у этого добра?
ps.1)Сайт статистики на движке weboffice поставь на брут вход в phpmyadmin логин скорее всего это название сайта, а пасс 8 - 9 символов
|
|
|
|
28.05.2007, 10:06
|
|
Новичок
Регистрация: 27.05.2007
Сообщений: 4
Провел на форуме:
10617
Репутация:
0
|
|
Сцылку? Я же сказал что это у нас в локалке... Хотя могу чё нить придумать 
Если у кого то есть предложения милости прошу в icq:443-553-352 |
|
|
|
28.05.2007, 10:06
|
|
♠ ♦ ♣ ♥
Регистрация: 18.05.2006
Сообщений: 1,828
Провел на форуме:
8042357
Репутация:
3742
|
|
Поиск: Ключевые слова: Уязвимости, DataLife
__________________
Привет! Меня зовут Джордж, и я хотел бы рассказать вам про реинкарнацию (ц) 2x2
|
|
|
|
28.05.2007, 10:15
|
|
Новичок
Регистрация: 15.04.2007
Сообщений: 5
Провел на форуме:
45645
Репутация:
0
|
|
Вот сплойты
http://www.milw0rm.com/exploits/1939 на php
http://www.milw0rm.com/exploits/1938 на perl
вообще хорошо бы узнать версию тогда уже искать
|
|
|
|
28.05.2007, 10:24
|
|
Новичок
Регистрация: 27.05.2007
Сообщений: 4
Провел на форуме:
10617
Репутация:
0
|
|
Copyright © 2006-2007. SoftNews Media Group All Rights Reserved
Всё что я смог найти визуально.Сплоиты не работают.
SQL-Inj которую нашёл на www.securitylab.ru тоже не работает пишет Hacking Attemp !
Оффтоп:Как заставить сервер выполнить php сценарий?
Последний раз редактировалось _Swat2k_; 28.05.2007 в 10:41..
|
|
|
|
28.05.2007, 10:41
|
|
Новичок
Регистрация: 15.04.2007
Сообщений: 5
Провел на форуме:
45645
Репутация:
0
|
|
DataLife Engine - критическое обновление безопасности для всех версий
Степень опасности: средняя
Проблема: Недостаточный контроль уровня доступа в модуле персональных сообщений.
18 мая 2007 выпущено обновление устраняющее проблемы безопасности модуля персональных сообщений
http://dle-news.ru/
Так что может он пропачет, это зависит от того когда ставили. Вообщем двиг платный, так что вряд ли кто будет в локалке обновлять что то за платно.
http://www.220w.org/ =>>поиск DataLife Engine, да и пользуйся гуглом.
может что найдешь в двиге
Оффтоп:Как заставить сервер выполнить php сценарий?
оффтоп, через баги в php, может в двиге, может в самом инпретаторе
Последний раз редактировалось imper; 28.05.2007 в 10:49..
|
|
|
|
28.05.2007, 10:43
|
|
Новичок
Регистрация: 27.05.2007
Сообщений: 4
Провел на форуме:
10617
Репутация:
0
|
|
А сплоиты есть? Или как вручную поковырять?
Последний раз редактировалось _Swat2k_; 28.05.2007 в 10:45..
|
|
|
|
28.05.2007, 10:56
|
|
Постоянный
Регистрация: 20.01.2007
Сообщений: 787
Провел на форуме:
2924346
Репутация:
1719
|
|
Сообщение от imper
как говорится сцылку ... скорее всего mssql стоит.
и часто теперь сценарий, использующий mssql, содержит mysql_fetch_array()? 
по винде судить не стоит, это раз.. во-вторых, ни разу не видел apache + mssql
|
|
|
|
09.01.2008, 09:55
|
|
Познающий
Регистрация: 20.07.2007
Сообщений: 53
Провел на форуме:
162004
Репутация:
100
|
|
В третьих, есть большая вероятность, что там где то инклуд.
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для Soviet[HZ]](/avatars/avatar39175.gif){kind=avatar}
Похожие темы
Линейный вид
