الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   ثغرة خطيرة في نسخة php تسمح برفع شيل حصريا لدى منتديات الهكرز (http://www.arabwebtalk.com/showthread.php?t=51384)

nasimallil 13-04-2007 01:21 AM

ثغرة خطيرة في نسخة php تسمح برفع شيل حصريا لدى منتديات الهكرز
 
بسم الله الرحمن الرحيم


####################################
جميع الحقوق محفوظة لمنتدى الهكرز
$###################################


يا اصحاب الأستضافات العربية ثغرة خطيرررة جداا في اصدارة ال php الثغرة موجوده في ملف phpinfo ومن خلال هذا الملف الموجوود نقدر نستغل الملف وفتح شيل من خلال هذا الملف

الحل هو حذف الملف هذا من السيرفر يجب التأكد من عدم وجود الملف في السيرفر او الموقع www.xxx.com/phpinfo.php تضع موقعك بدل xxx

www.xxx.com/phpinfo.php حذف ملف phpinfo.php الثغرة تم تطويرها من قبل هكرز محترفين :crazy: الحل مثل ما قلت حذف الملف ووجوده كعدمه
الأصدارة المصابة php 4 وايضا : PHP 4.4.3 - 4.4.6


المصدر مع الأستغلال حصريا مع منتديات الهكرز :




كود PHP:

To manually test for this vulnerability just call the phpinfo() page with a par***ter like this

http://localhost/phpinfo.php?a[]=<script>alert(/XSS/);</script> 

# milw0rm.com [2007-03-04] 

ويمكنك ايضا تطبيق الثغرة بهذا الاكواد وهذه الأاكود تسمح برفع شيل :



كود PHP:

http://site.com/phpinfo.php?cx[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]=[XSS] 


http://site.com/phpinfo.php?cx[][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][][]=<script>alert(document.************************);</script> 

http://site.com/phpinfo.php?a[]=<script>alert(/Hi hacker5/);</script> 

تحياتي للجميع


ياليت الكل يقفلها لتفادي أختراق المواقع العربية والسيرفرات و

الموضوع الأصلي

http://www.hacker5.net/vb/showthread...sted=1#post 546

كافي عذاب 14-04-2007 09:51 AM

شكرا لك واااصل

الصريح جداً 21-04-2007 02:59 PM

يعطيك العافية أخوي لكن موب شيل

هذي ثغرة xss وما تفيد في أي شي لأن لايوجد كوكيز ينسرق أساساً ^_^

تشآآآآآآآآآآو

سوري 23-04-2007 07:46 PM

اخي الكريم كل اسوبع اراجع مواقع امن المعلومات والهاكرز لم ارى احد يتحدث عن هذه الثغرة

ممكن اتكون بالفعل لايعرفها الكثير لكن لااعتقد ذلك واكيد هذا ليس تشكيك بمعلوماتك لاسمح الله انما للاستفادة فقط

وكما قال احد الاخوة لايوجد كوكيز يخزن كلمات السر حتى استخدمها لو كانت موجودة فا xss تستخدم في سرقة محتويات الكوكيز كما حصل مع الهوتمل الاصدار القديم وليس الذي يعتمد على اجاكس


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 02:05 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012