[ترقيع] لثغرة الـannouncement.php و الـ forumdisplay.php

Z

zukonaz

Member
copym.gif


الحمد لله الذي أنزل القرآن ورفع به الإنسان..
وجعله نورٌ للقلوب و الأبدان..

 و كرم أهله بالفوز بالدنيا و يوم يحشر الثقلان..

 و بشر حامليه و حفظته بالمغفرة و الرضوان..

و الفلاح و الفوز بالجنان..

ثم الصلاة و السلام على النبي الهادي العدنان..

 محمد بن عبدالله وآله وصحبه ومن سار على نهجه بإحسان..

اليوم تخفق مشاعرنا بالبشر والأنس..

اليوم مجدُ وعُز موصول بالأمس..

13790925.gif


جميعنا يعرف ان شركه VBulletin هي الرائده في مجال المنتديات

ولكن كما نعلم أيضاً وإن لم تكن تعلم فأعلم الآن بأن عيبها الوحيد هو كثره الثغرات التى تكتشف من حين الى آخر

قد يسأل البعض : لم علي أن أتبع ثغرات المنتدى فجوابي لهم : حتى لا يتم إختراق موقعكـ خلال ثوان

ومن هذة النقطة خطرت لى هذه الفكره وهى البحث عن جميع الثغرات المعروفه و جمعها في هذا الركن

حتى تصبح مرجع لكل من يبحث عن حماية حقيقية للموقع

28436637.gif


[ترقيع] لثغرة الـannouncement.php و الـ forumdisplay.php

68914505.gif


دعوة صالحة في ظهر الغيب

زيارة ركن الحماية والثغرات بإستمرار لمتابعة حل مشاكل الثغرات الحديثة بالضغط هنا

36303376.gif


السلام عليكم

يتم فتح الملف announcement.php
والتوجه للسطر رقم 403 وهو بهذا الشكل
كود: 
$postbit_obj =& $postbit_factory->fetch_postbit('announcement');

نقوم بإضافة الأكواد التالية تحته مباشرة
كود: 
$changesomechars = array('\&quot;','\'','|','(',')',':','&amp;','$','<','>','"');
$newchars = array('&quot;',''','l','(',')',':','&','$','&lt;','&gt;','&quot;');
$post[title] = str_replace($changesomechars, $newchars,$post[title]);
$post[title] = strip_tags($post[title]);

انتهينا من ملف announcement.php

-----------------------------------

نتوجه للملف forumdisplay.php

إلى السطر 496 وهو بهذا الشكل
كود: 
fetch_musername($announcement);

نضيف تحته مباشرة الكود التالي
كود: 
$changesomechars = array('\&quot;','\'','|','(',')',':','&amp;','$','<','>','"');
$newchars = array('&quot;',''','l','(',')',':','&','$','&lt;','&gt;','&quot;');
$announcement['title'] = str_replace($changesomechars, $newchars,$announcement['title']);
$announcement['title'] = strip_tags($announcement['title']);

وبذلك نكون قفلنا ثغرة استغلال عنوان الاعلانات باستخدام أكواد
html


:1:

74322355.gif


وها نحن نأتي وإياكم إلى ختام جولتنا المباركة , بين أفياء حديقتنا

وزهرات بساتيننا وشذا زهراتنا الفواحة .

بعد أن طـّوفنا فيها سوياَ فرأينا ما يعجب العين , وسمعنا ما يشنف الآذان ويطرب

الفؤاد، وإنه ليعز علينا الفراق بعد اجتماع والبعد بعد لقاء.

 يا من يعـز عـلـيـنـا أن نـفـارقـهـم وجـدانــنـا كل شيء بـعـدكـم عـــدم

 ولا يسعنا أحبتنا الكرام في هذا ، إلا أن ندعو الله لنا ولكم التوفيق

الذي جمّع شملنا في معهدنا المبارك

 وها هو وقت الوداع حان ..

وزمان البين آن وإلى لقاء قريب وعلى الأبداع نجتمع.

67179642.gif
 


انا مجربها على 384

اذا لم تكن موجودا فالثغرة غير موجودة في النسخة 386
 


حبيبي ... والله أنت تفتح ثغرة ,

إن كنت تريد أن يتم إختراق منتداك بطبيعة الحال عليك تطبيق هدا الدرس

أخي... بهدا الشكل, ستفقد الفوريمديسبلاي الخاص بك يا حبيبي

إن كنت مجرب الدرس فلن تضعه لأنك تعلم أنه غير مفيدبتاتا بل ضار

أعتدر عن ^ الوقاحة ^ لكن ... المرجو مسح الدرس

في أمان الله تعالى
 


fado قال:
حبيبي ... والله أنت تفتح ثغرة ,

إن كنت تريد أن يتم إختراق منتداك بطبيعة الحال عليك تطبيق هدا الدرس

أخي... بهدا الشكل, ستفقد الفوريمديسبلاي الخاص بك يا حبيبي

إن كنت مجرب الدرس فلن تضعه لأنك تعلم أنه غير مفيدبتاتا بل ضار

أعتدر عن ^ الوقاحة ^ لكن ... المرجو مسح الدرس

في أمان الله تعالى
أنقر للتوسيع...


اسمع انا مطبق هذا الدرس في منتداي ومازال في منتداي

هذا الموضوع موجود في اكثر من منتدى وانت الوحيد الذي قال هذا
 


يا إخوان والله حيرتونا
نطبق الدرس ولا لا عطونا الخبر المفيد
نرجو المساعده أخي ديليجنت أنت المنقذ
 


اخي الكريم هل برئيك هذه اغلاق ثغرة
$announcement['title'] = str_replace
أنقر للتوسيع...

وكلامك غير صحيح ابداً
ولو كنت عن جد مطبق هالشي بموقعك على حسن نيتك
قم بازالتها لأنها عبارة عن (( ثغرة))
 


مشكور صحيح تأخرت بالرد جاري الازالة
وارجو من الجميع عدم التطبيق
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
عودة
أعلى