النتائج 1 إلى 11 من 11

الموضوع: ثغرة خطيرة جداً مع شرحها وطرق سدها ..؟

  1. #1
    عضو نشيط
    تاريخ التسجيل
    May 2002
    المشاركات
    216

    ثغرة خطيرة جداً مع شرحها وطرق سدها ..؟



    بسم الله الرحمن الرحيم


    أولاً اعاهد الله ان لا أستخدم هذه الثغرة بطريقة تؤذي الأمنين في مواقعهم اوأستخدمها بطريقة غير شرعية

    كما وعدت الكثير بشرح ثغرة منتدى vb3 بشرحهاااااا اليوم والثغره تعتمد على سحب قاعدة البيانات كامله او احد الجداول الموجوده فيها حسب رغبتك والطريقه بعمل بسيطه جداً بعمل upgrade للمنتدى فقط اتمنا من اخوني عدم استخدام الثغره في المنتديات العربيه وانا ابري ذمتي من استخدام هذي الثغره بطريقة غير شرعية من قبل بعض ضعاف النفوس

    ++++++++ الشرح ++++++++

    نذهب الى فأر تجارب http://www.vbportal.com/forums نذهب بعد مجلد المنتدى ونضع install/upgrade1.php
    ليصبح بهذا الشكل http://www.vbportal.com/forums/install/upgrade1.php
    ثم يطلب منك CUSTOMER_NUMBER اذهب الى اي موقع متخصص في في المنتديات كا المشاغب او قلعة العرب وابحث على نفس الأصدار ونزله في جهازك ثم اخل على مجلد install وافتح ملف authenticate.php وابحث فيه عن CUSTOMER_NUMBER ستجده بين قوسين خذه وضعه في الفراغ ستفتح لك صفحه لعمل upgrade للمنتدى لا تضغط على Next Step وتحوس الدنيا انظر الى الصفحه ستجد قبل عمل upgradeخيار مكتوب فيه Click here if you want to back up your database
    اها ايش فهمت ؟ يعطيك خير هل تريد نسخه من قاعدة البينات قبل عمل upgrade اضغط عليه لكي تاخذ نسخه ستذهب الى صفحه اخرا يوجد فيها خيارين الخيار Dump Data to SQL File و Dump Data to CSV File لا تهم التفاصيل فيها انت اختر اي سهم فيهم واختر منه جدول user سيعرض لك كل مستخدمين المنتدى بنكاتهم واميلاتهم وباسورداتهم لكن مشفره تشفير md5 واحيناً لا تحتاج الى CUSTOMER_NUMBER ستجد المنتدى مفتوح كهذا المنتدى http://www.binaryphotography.com/install/upgrade1.php
    او هذا المنتدى
    http://www.gamerz.nl/vb3/install/upgrade1.php
    الى هنا خلاص الباقي انت تسويه في الحل في فك التشفير على فكره تشفير md5 هذ مو صعب فكه الا مستحيل الحل الوحيد هو خداع الكوكيز ولها اكثر من طريقه ممكن عن طريق برامج مخصصه او عن طريق سكيربت php او عن طريق الكوكيز الموجود في جهازك عاد انت فكر كيف تلقى الحل

    الحل لسد هذه الثغرة هي وضع جدار ناري على مجلد Install أو تغيير مساره
    منتديات مصابه بالثغره

    http://www.vbulletin.nl/community/install/upgrade1.php
    http://www.theadminzone.com/forums/install/upgrade1.php
    http://boards.banterboards.com/install/upgrade1.php
    http://www.vbulletin.nl/community/install/upgrade1.php
    http://music4you.majiks.ca/install/upgrade1.php
    http://www.tunercarz.com/driverforum...l/upgrade1.php
    http://www.gtnetwork.de/forums/install/upgrade1.php
    http://www.webdevforums.com/install/upgrade1.php
    http://forums.devshed.com/install/upgrade1.php
    http://www.vbulletin.nl/community/install/upgrade1.php
    http://www.websitepublisher.net/foru...l/upgrade1.php
    http://www.extremepixels.com/forum/install/upgrade1.php
    http://topmicrousa.coolsimstuff.net/...l/upgrade1.php
    http://www.extremepixels.com/forum/install/upgrade1.php
    http://forum.hivemail.com/install/upgrade1.php
    http://www.vbportal.com/forums/install/upgrade1.php
    http://www.ninten.com/f/install/upgrade1.php
    http://forums.techieville.com/install/upgrade1.php
    http://www.skaterscafe.com/install/upgrade1.php
    http://www.vbadvanced.com/forum/install/upgrade1.php
    http://www.net4nowtforum.co.uk/install/upgrade1.php
    http://www.f5hosting.com/forums/install/upgrade1.php
    http://www.scifi-meshes.com/forums/install/upgrade1.php
    http://www.binderbulletin.org/forums...l/upgrade1.php
    http://www.videogamingforums.com/for...ll/upgrade1.ph
    http://animeboards.com/install/upgrade1.php
    http://animeboards.com/install/upgrade1.php
    http://www.steeldolphin-forums.com/install/upgrade1.php
    http://www.vbadvanced.com/forum/install/upgrade1.php
    http://forum.counter-strike.nl/install/upgrade1.php
    http://www.80sxchange.com/forums/install/upgrade1.php
    http://www.planet3dgames.de/forum/install/upgrade1.php
    http://animeboards.com/install/upgrade1.php
    http://forums.ausvisage.com.au/install/upgrade1.php
    http://forums.ausvisage.com.au/install/upgrade1.php


    +++ تنبيه مهم +++
    هذي الثغره لم يسبق ان شرحها احد في المنتديات العربيه لذا اتمنى من اي اخ يريد ان ينسخ الشرح يكتب التالي

    ملطوش من عصابة المخترقينwww.3sabh.com
    By Unix Web



    تحياتيهنا المنتدى





    Dr.x غير متواجد حالياً


  2. #2
    عضو نشيط جدا
    تاريخ التسجيل
    Mar 2003
    المشاركات
    357


    المفروض ان يقوم الجميع بحذف مجلد install





    __________________
    أكبر تجمع ادبي ثقافي عربي في عالم الإنترنت
    HTTP://WWW.AWRAG.COM
    Only dream غير متواجد حالياً

  3. #3
    عضو نشيط
    تاريخ التسجيل
    Jun 2003
    المشاركات
    89

    لا خطيرة ولا كبيرة



    السلام عليكم ورحمة الله وبركاته


    أولا : بارك الله فيك للنقل الرائع ( لمعلومة قد يجهلها الكثير )

    ولكن لاتعتبر ثغرة اساساً . .

    لأن اغلب المستخدمين لبرنامج vbulletin الجيل الثالث يجهلون آلية التركيب الصحيحة لـه وإن كان أولهم

    جون ههه والله جربتها قبل فترة على منتداه ماشيه زي الحلاوة الغبي كان فرحان يبي ينزل النسخة

    بس الحين غير كل شيء وانتبه للمشاكل

    بسرعة المهم الآن الاحظ ان الاخوان بسوالف وغيرها ماقصروا في توضيح الطريقة الصحيحة لتركيب

    النسخة الثالثة بدون بقاء اي اخطاء تؤدي الى اختراق منتداك ( نص اختراق ) ههههه

    نجي لكلام الأخ

    نعم تستطيع الحصول على باسورد الادمن مشفر عن طريق نسخة من ملف الـ user اذا حصلت عليه

    اقول لك صدقني ماراح تستفيد شيء احب اطول الكلام شوي عشان تقول وش عنده هذا ههههه

    يااخي الكريم استخدمت الكوكيز ودخلت مشاء الله عليك صرت الادمن حق منتدى شونق يونق بنق

    بس يااستاذي الفاضل ماتقدر تتحرك شبر واحد هههه شفت شلون معقدة !!

    اقول لك ليش لأنك تبي تسوي فيها ذكي وتروح لوحة تحكم العضو اللي انت دخلت فيه اللي هو الادمن

    وتبي تغير الايميل عشان ترسل الباسورد على ايميلك ( بس مو زي النسخة الثانية ) يعني

    راح يجييك المحقق العام ولد جوون ويقول لك الله لايهينك يااخينا هات الباسورد حقك عشان

    نمشي طلبك ماعندك الباسورد اجل افرح بالمنتدى بكتابة مواضيع وتعديل وحذف مواضيع ( ليته

    يحذف كل شيء

    هههه على الاقل نقول اختراق لا ماعندك غير حذف ابو حبة يعني مافيه بالدرزن )

    وبكذا نقول لك انت اخترقت المنتدى نصف اختراق لأنك ماراح تصل للوحة الـ admincp لأنك ماعرفت

    تجاوب ولد جون اللي طلب منك الباسورد ههههههههههه عشان كذا اقول للكل يفرح بالثغرة هذي

    وينبسط فيها

    طيب نجي للزبدة تقدر تسوي فيها عنترة بن شداد وعن طريق هالخطأ في التركيب وليس ثغرة

    تحوس جداول الترقية وينخبص المنتدى بس ماقدرت تسوي اكثر من كذا

    احيانا البعض يستخدم برامج md5crack صح احيانا تصيب واحيانا تخيب بس نسبة النجاح 0.000001 %

    انك تجيب الباسورد اذا كان اكثر من 8 حروف أو انسىىى نهائياً تجيبه لو كان من حرف واحد بس

    عربي لذلك انا افضل استخدام الباسورد العربي لأن الغرب طايحين في التخمين من a-z نسيوا ان

    فيه بعض الناس يستخدمون الباسورد بالعربي احيانا يسوي لك الباسورد العربي مشاكل بس ضبط

    شغلك تمام . تمشي تمام

    اسف على الاطالة وحبيت اوضح اللي عندي ولكم جزيل الشكر





    __________________
    رمضان كريم
    Swa7.com غير متواجد حالياً

  4. #4
    عضو سوبر نشيط
    تاريخ التسجيل
    Nov 2003
    المشاركات
    601


    الله يعطيك الف عافيه على الشرح الرائع للثغره
    والي بما انه راح يتسارع الكثير عشان يطبقها وخصوصا في سحب جدور اليوزر
    لكن اهم شي انه بيكون تنبيه للبقيه عشان يحذفون مجلد الانستال كله
    الله يعطيك العافيه





    __________________
    سحر الفنون http://www.sehralfnon.com
    مواقع ستايلات منتديات شعارات
    مونتاج فديو لوقو انيمشن بروشور
    admin@sehralfnon.com
    مؤسسة سعودية رسميه
    دركوش غير متواجد حالياً

  5. #5
    عضو فعال
    تاريخ التسجيل
    Apr 2004
    المشاركات
    1,780

    Re: لا خطيرة ولا كبيرة





    مشكور اخوي وجزاك الله خير على التنبيه .. فعلا ً الى الان حصلت اكثر من منتدى عربي ماجابو خبرها

    وكنت اقدر احوس ام المنتدى عليهم وأقلب عاليها واطيها ولخبط ام قاعدة البيانات لهم بس الحمد لله

    كل منتدى حصلتة قمت وراسلت المشرف العام وأخبرتة عن المشكلة وحلها مونها منتدى كبير عدد اعضائه اكثر من 35 الف وهذا كلها بفضل الله ثم ايضاحك لنا .............

    بس عندي ملاحظة ....

    ليتك ماكتبت الطريقة لان مثلك عارف فية مبزرة راح يطبقون الي انت كتبته على منتديات كثيرة بيسون فيها يعنني تراني هكر :funny:

    وعيد وقول مرة ثانية جزاك الله الف خير على







    __________________
    k_l_l_o_ll @ hotmail.com
    فن التصميم
    ياقلبي غير متواجد حالياً

  6. #6
    عضو فعال جدا
    تاريخ التسجيل
    Jun 2004
    المشاركات
    3,528


    شكراً لك اخي .... ويفضل تعمل جدار ناري .. حق

    المجلدات التاليه على المسار:

    vb/Install
    vb/admincp
    vb/modcp
    vb/includes

    1- admincp

    2- includes

    3- install

    4- modcp





    __________________


    oO(الباسل)oO غير متواجد حالياً

  7. #7
    مُجَاهِد سابقاً
    تاريخ التسجيل
    Apr 2004
    المشاركات
    12,000


    من جد خطيرة ..





    __________________
    استخدم خاصية تنبيه المشرفين للضرورة وعند ملاحظة موضوع يخالف قوانين منتديات سوالف وسيتم مراجعة الموضوع او المشاركة المبلغ عنها على الفور
    عبد الله هُربي غير متواجد حالياً

  8. #8
    عضو نشيط
    تاريخ التسجيل
    Oct 2003
    المشاركات
    254


    مشكور اخوي على الشرح





    __________________
    اللهم لااله الا انت سبحانك اني كنت من الظالمين

    لماذا محاربة النسخ منزوعة الكود او المقرصنه بهذا الشكل ؟؟؟
    مخاوي الليل 2 غير متواجد حالياً



  9. كود:
    شكراً لك اخي .... ويفضل تعمل جدار ناري .. حق 
    
    المجلدات التاليه على المسار:
    
    vb/Install
    vb/admincp
    vb/modcp
    vb/includes
    
    1- admincp
    
    2- includes
    
    3- install
    
    4- modcp
    كلام صحيح 100% ..

    هذي المجلدات لازم تسوون عليها حماية برقم سري من لوحة التحكم ..





    __________________
    * راسلني
    عبدالرحمن العنكبوتي غير متواجد حالياً

  10. #10


    بب



    ماشاء الله


    جربتها علي اكثر المنتديات العربيه لقيتها مفتوحه

    جزاك الله خير علي التنبيه





    __________________
    للمراسلة
    اللهم احيينا علي طاعتك
    وامتنا علي طاعتك ومحبتك
    وادم نعمة الصحه علينا
    نستغفرك اللهم ونتوب اليك بما اخطأنا ونعلم وما اخطأنا ولم نعلم
    سبحانك مالنا الا ماعلمتنا ..... سبحان الله والحمدلله ولا اله الا الله والله اكبر ولله الحمد,,,
    شبكة بوابة اليمن غير متواجد حالياً

  11. #11


    يا اخوان من البديهي عمل جدار ناري .. القصة ليست مخيفة .. الا للمبتدئين .
    اما من لهم مدة زمنية لا باس بها في ادارة المنتديات فهم يعرفون انه من البديهي عمل الجدار الناري ..





    __________________
    www.hdrmut.net
    hdrmut@hotmail.com
    سر النجاح على الدوام === ان تسير الى الأمام
    ابو حضرم غير متواجد حالياً





ضوابط المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •  

أضف موقعك هنا| اخبار السيارات | حراج | شقق للايجار في الكويت | بيوت للبيع في الكويت | دليل الكويت العقاري | مقروء | شركة كشف تسربات المياه | شركة عزل اسطح بالرياض | عزل فوم بالرياض| عزل اسطح بالرياض | كشف تسربات المياة بالرياض | شركة عزل اسطح بالرياض