السلام عليكم جميعا
هذه اول مشاركة لي في هذا المنتدى الذي كنت اتمنى المشاركة فيه منذ فترة طويلة واشكر القائمين عليه على اتاحة الفرصة من جديد للتسجيل فيه.
سؤالي بسيط وهو ان هناك طريقة فعالة 100% لاختراق مجلات php nuke من الاصدار 5.2 ونازل وهي عن طريق اضافة لينك بعد وصلة الادمين الخاص بالمجلة ويقوم هذا اللنك اللعين باضافة ملف نصي بعنوان hacked.txt ويقوم اثناء وضعه في مجلد الصور images او في ملف مجلد الصور في مجلد admin\images باضافة هذا الملف الذي يقوم بقراءة ملف الاعدادات config ويحصل على كل مافيها من معلومات يعني يقوم بنسخها ومن ثم نشرها في هذا الملف.
والخطورة تكمن في ان المخترق بامكانه تغيير اسم الملف من ملف txt الى ملف index لتظهر في الصفحة الاولى للمجلة وبالتالي اختراقها تماما.
وقد ذهبت الى موقع المجلة http://www.phpnuke.org وفي منتداهم وجدت حلا بسيطا وهو تغيير في تعليمات الملف admin.php في السطر 225 ليكون كالتالي
if($upload) {
to read:
if (($upload) && ($admintest)) { ومع ذلك لم يتم اغلاق تلك الثغرة القاتلة فهل لخبراء مجلات النوك راي فيها علما بانني قمت بتجربة ذلك على مجلتي وتمكنت من اضافة ملف الاختراق حتى من دون تسجيلي كمدير او محرر للمجلة.
امل الرد سريعا لخدمة اصحاب المجلات وحمايتهم من الاختراق
واعتذر عن عدم كتابة امر او لينك الاختراق لكي لا يتم اساءة استخدامها وانتشارها فيما بين الهاكرز العرب
ولكم تحياتي
محب php nuke