كسر البرايـــــــفت - ثغرة حطيرة والمواقع بالالاف

[abdotv]

برايفت --------- 2013

الثغرة من اكتشافي والاكواد من صنعي .قبل البدء المرجوا حفظ الحقوق

الثغرة لم اضعها بالزون اتش لكي يستفيد منها الهكر العربي فقط

-------
الدروك
----

inurl:my_profile.php?user_id=MTM=

inurl:view_news_details.php?nid=NQ==


نوع الثغرة
-----
ثغرة اضافة ادمن جديد في سكربت معروف

والمواقع بالالاف

-------
الاستغلال
------

حمل ملف csrf من المرفقات

كل شي فيه معدل

فقط قمبتغير الرابط الموجود فيه http://www.awashingtonspeakersbureau.com

الى الرابط الموقع المستهدف وافتحه بالمتصفح واضغط على submit

ومبروك عليك الموقع

بيانات الدخول هيا

username: admin
password: abdotv



طريقة رفع الشل هناك عدة طرق

الطريقة الاسهل

من هنا

www.site.com/admin/addheader.php

وتجده هنا مع الهدرات الافترضية
فقط اعمل نسخ لرابط الشل واستعرضه


www.site.com/admin/manageheaders.php

كما قلت المواقع مليانة وحصلت عشرات السيرفرات حتى مللت منه

------
مواقع للتجريب
-------ا

http://www.awashingtonspeakersbureau.com/
http://kidzbook.org/
http://ajnetworks.info/
http://caribbeancontact.com/


بالتوفيق لكم