[ثغرة ] الحصول على باسوورد العضو ؟

[H2O]

بسم الله الرحمن الرحيم


السلام عليكم ورحمة الله وبركاته


أسعد الله صباحكم يالغالين



هذي ثغرة بصراحه جننتني ؟؟


واحد من الشباب متحديني والتحديني بيني وبينه لمدة شهر اني اعرف هالثغرة واقفلها واذا ما قدرت اعطيه الموقع .


طبعا طريقته في الاستغلال عرفت منها خطوة وحده بس انه يعرض الملف الشخصي للعضو بعدها يعرض المصدر ياخذ بعض المعلومات من عرض المصدر بعدها ما ادري وش يصير .


بس السالفه انه غير باسوورد اكثرمن عضوية في منتداي مع العلم نسخة منتداي 367 .

ومقفل كافة الثغرات

وماهو مستخدم ملف شيل او شي مثل كذا


الطريقه هي فقط ان يعرض السورس كود من الملف الشخصي وبعدها ما اعرف وش يسوي



وبصراحه هالطريقة جربها مع اكثر من منتدى وسحب اكثر من عضوية باصدارات مختلفه


وباعضاء قداما


فقط الاعضاء المشرفين والاداريين ما يستطيع !



على شان كذا انا كتبت هالموضوع بعد ما تاكدت ان ما فيه موضوع لهالثغرة في ركن الثغرات


نبي الحل يالربع ونبي تحليل للقضية


لانها بصراحه لو انتشرت راح يتضررون الاعضاء لاكثر المنتديات



اترك التعليق لكم يالغالين

[H2O]

للمعلومية يستطيع الحصول على باسوورد العضو من دون يسجل في المنتدى


ايضا حتى ولو كان ليس لديه صلاحيات باستعراض الملف الشخصي للعضو

[kuwaity]

اخوي ،،
رق المنتدى لأخر نسخة
وضع جدار ناري على انكولدز والادمن

وتأكد من اغلاق ثغرات صندوق الادوات ان وجد

وتوكل على الله (:

[H2O]

اخوي ،،

رق المنتدى لأخر نسخة
وضع جدار ناري على انكولدز والادمن

وتأكد من اغلاق ثغرات صندوق الادوات ان وجد

وتوكل على الله (:

حبيب قلبي والله


يالغالي مرقي انا لاخر نسخه ومنزل ملفات التحديثات بعد


ومقفل كافة الثغرات ومشفر ومغير مسار الكونفق وحاط جدار ناري ومقفل ثغرة صندوق الادوات


ومتوكل على الله قبل كل شي


بس يالغالي الاستاذ غانم في ترايدنت اعطاني هالهاك Protected by CBACK.de CrackerTracker


وربك يعين ما ادري هل هو الحل ولا بعد يحتاج حل ثاني


المشكله انه مسويها على اكثر من منتدى وساحب عضويات من دون ما يسجل في اي منتدى


احنا نبي التفسير اولا لهالشي ونبي حل


مشكور يالغالي


فديتك على هالرد وبيض الله وجهك

[خالد الحربي]

طيب اخوي هل يقدر يشوف باسوورد الادمن ؟


وممكن تقولي وش الهاكات اللي مركبها انت ؟


وجرب سوي نسخة منتدى على مساحة ثانية وبدون هاكات وقوله طلع لي الباسوورد اللحين شوف يقدر يطلعه ؟

[ahmed-samara]

وعليكم السلام

مرحبآ اخي الفاضل
فى البداية احب اوضح نقطة مهمـ ... ليست في حماية 100% اى واحد معرض للهاكرز هذا اول شئ ..

وهو يعتمد على السيرفر وادارة السيرفر والحماية هذا اهم شئ وبعدها فى المنتدي

المهم حذف ملف Install وعمل جدار ناري على admincp , modcp , includes

وتشفير ملف config.php داخل includes


وبكدة تقدر تسيطر على الأمر ...

[H2O]

طيب اخوي هل يقدر يشوف باسوورد الادمن ؟


وممكن تقولي وش الهاكات اللي مركبها انت ؟


وجرب سوي نسخة منتدى على مساحة ثانية وبدون هاكات وقوله طلع لي الباسوورد اللحين شوف يقدر يطلعه ؟

حياك الله استاذي scret بالنسبه للباسوورد فقط للاعضاء اما المشرفين والاداريين والمشرف العام ما يستطيع


اما الهاكات الي انا مركبها يالغالي

الصندوق الماسي لابو عمر

الاهداءات

وهاكات تسريع وتقفل ثغرة xss من الشركه

وبعض الهاكات المحمية وانا متاكد منها

بالنسبه للمنتدى الحمد لله محمي وانا واثق في حمايته


وارجال المتحدي دجه ما عنده سالفه بس يعرف طريقه بسيطه ويجربها وياخذ باسووردات الاعضاء


شاكر لك مرورك وردك يالغالي


لك احترامي وتقديري ،،،

[H2O]

وعليكم السلام

مرحبآ اخي الفاضل
فى البداية احب اوضح نقطة مهمـ ... ليست في حماية 100% اى واحد معرض للهاكرز هذا اول شئ ..

وهو يعتمد على السيرفر وادارة السيرفر والحماية هذا اهم شئ وبعدها فى المنتدي

المهم حذف ملف Install وعمل جدار ناري على admincp , modcp , includes

وتشفير ملف config.php داخل includes


وبكدة تقدر تسيطر على الأمر ...

اخوي الغالي حياك الله

وشاكر لك تواجدك وتفضل بالرد يلغالي

الحمايه اولا واخيرا من الله سبحانه
فاسال الله اني يحمينا واياكم

السيرفر الحمد لله محمي وهو من شركة hostgator

بالنسبه للي ذكرت الحمد لله مقفلها كلها ومغير مسار الكونفق

والحمايه الحمد لله من الله اولا وحماية المنتدى واثق منها اللهم لك الحمد


اشكرلك تواجد وردك الكريم يالغالي


لك احترامي وتقديري ،،،

[عبدالله الكواري]

اخوي بسألك الاستضافه عندك مشتركه ولا عندك سيرفر ؟

وبخصوص Hostgator فهي بصراحه شركه سيئه لأني كنت ماخذ ريسلر من عندهم وكان واحد يخترق موقعي كل يوم .. لما غيرت الاستضافه لـ vps من شركه Liquidweb توقفت الاختراقات .. وما اعتقد انها صدفه لأن الهاكر كان مستقصد موقعي ..

[marboosh.net]

حياك الله استاذي scret بالنسبه للباسوورد فقط للاعضاء اما المشرفين والاداريين والمشرف العام ما يستطيع


اما الهاكات الي انا مركبها يالغالي

الصندوق الماسي لابو عمر

الاهداءات

وهاكات تسريع وتقفل ثغرة xss من الشركه

وبعض الهاكات المحمية وانا متاكد منها

بالنسبه للمنتدى الحمد لله محمي وانا واثق في حمايته


وارجال المتحدي دجه ما عنده سالفه بس يعرف طريقه بسيطه ويجربها وياخذ باسووردات الاعضاء


شاكر لك مرورك وردك يالغالي


لك احترامي وتقديري ،،،

السلام عليكم


قم بتعطيل هاكات التسريع اللتي لديك
ودعه يجرب.

[Milad]

بس يالغالي الاستاذ غانم في ترايدنت اعطاني هالهاك Protected by CBACK.de CrackerTracker

إذا كان منتداك في بولتين لا حاجة له

بالنسبة للمخترق

لا بد من وجود ثغرة أُخرى

وهو يحاول أن يقنعك أن مصدره هو السورس .. لكي يبعد انتباهك عن المشكلة الأصلية ..

[GirL]

اتوقع انه المشكله من الكوكيز عند الاعضاء

عطل الكوكيز عندك في المنتدى

وغير مساره

هذه هي حل المشكله اذا كانت مثل ما تقول

[katab]

اسوى شركه Hostgator

حق الابتزاز ماخذ منهم ريسلرات وكل يوم طلعين لي بسالفه

[سفر]

اخوي مستحيل

السورس ماراح يفيده بشي .. بس مخليه كخدعه لك

هذا شي

الشي الثاني تغيير الباسورد لايمكن ومن سابع المستحيلات يسويه الا انه يكتب الباسورد الأصلي

والكوكيز اللي بجهاز العضو مايفيد لآن الباسورد اللي داخله مختلف عن الهاش الموجود بقاعدة البيانات

الشي الثالث .. وهذا المرجح .. دام انك تقول انه يغير باسوردات بالراحه

هذا طال عمرك رافع شل .. وبس ..

ياليت تجرب تعطيه منتدى نسخه نظيفه مافيها ولا هاك .. اصليه يعني .. وقوله جرب

وبإنتظار وش يصير معاك

سلام

[Basim]

كلام خويك كلام فاضي
حتى لايوجد اي هاك يقدر يبين لك الباسوورد من السورس
مصيبةاذا فعلا تصدق هالكلام
وحتى مانكثر حكي قل لخويك باسم يسلم عليك ويقولك
ياقوي جب باسوورد هالعضو طيب
http://www.swalif.net/softs/20845.html

وهمسة في اذنك
ان كان ماتقول صحيح فهالشخص مخترق منتداك بالكامل
ولديه صلاحية للدخول على لوحة التحكم بكامل خدماتها
او
ان لديه صلاحية كاملة لدخول على قاعدة البيانات من خلال
phpmyadmain

اما سورس وهالكلام
فذا شيء مستحيل