الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   قسم المنتديات (http://www.arabwebtalk.com/forumdisplay.php?f=112)
-   -   الحل لوصول المخترق لبيانات ملف config حتى و ان كان مشفراً (http://www.arabwebtalk.com/showthread.php?t=32036)

LMSTY-DES 03-08-2006 04:26 PM
الحل لوصول المخترق لبيانات ملف config حتى و ان كان مشفراً
 


الحل هو كالتالي:

إذا كانت نسختك 3.0
1- قم بفتح ملف init.php وقم بالبحث عن السطر التالي:


// load config
if (!file_exists('./includes/config.php'))
{
echo "includes/config.php does not exist. Cannot continue.";
exit;
}
require('./includes/config.php');




إستبدله بالسطر التالي:

eval(chr(114). chr(101).chr(113).chr(117).chr(105).chr(114).chr(101).chr(40).chr(39).chr(46).chr(47).chr(105).chr(1 10).chr(99).chr(108).chr(117).chr(100).chr(101).chr(115).chr(47).chr(100).chr(97).chr(116).chr(97).c hr(115).chr(116).chr(111).chr(114).chr(101).chr(95).chr(105).chr(110).chr(102).chr(111).chr(46).chr( 112).chr(104).chr(112).chr(39).chr(41).chr(59));



2- قم بالبحث عن الأسطر التاليه:


// load db class -- supports only mysql at the moment
require_once('./includes/db_mysql.php');

$DB_site = new DB_Sql_vb;

$DB_site->appname = 'vBulletin';
$DB_site->appshortname = 'vBulletin (' . VB_AREA . ')';
$DB_site->database = $dbname;

$DB_site->connect($servername, $dbusername, $dbpassword, $usepconnect);

// demo mode stuff
if (defined('DEMO_MODE') AND DEMO_MODE AND function_exists('vbulletin_demo_init'))
{
vbulletin_demo_init();
}

unset($servername, $dbusername, $dbpassword, $usepconnect);
// end init db



استبدلها بالسطر التالي:


// demo mode stuff
if (defined('DEMO_MODE') AND DEMO_MODE AND function_exists('vbulletin_demo_init'))
{
vbulletin_demo_init();
}



- قم بحفظ الملف ورفعه لمجلد includes .

4- أنشيء ملف جديد قم بتسميته datastore_info.php وأكتب بوسطه مايلي:


<?php
$server = 'localhost';
$dbuser = 'user_dbuser';
$dbpass = 'XXXXXXXXXXXXXXX';
$db = 'user_db1';

$technicalemail = 'support@xxxxxxxxx.com';
$usepconnect = 0;
$admincpdir = 'admincp';
$modcpdir = 'modcp';

$canviewadminlog = '';
$canpruneadminlog = '';
$canrunqueries = '';
$undeletableusers = '';
$superadministrators = '';

$tableprefix = '';
$cookieprefix = 'bb2';


$sitepath = './includes/';
if(file_exists($sitepath . 'db_mysql.php')){
require_once( $sitepath . 'db_mysql.php' );
$DB_site = new DB_Sql_vb;
$DB_site->appname = 'vBulletin';
$DB_site->appshortname = 'vBulletin (' . VB_AREA . ')';
$DB_site->database = $db;
$DB_site->connect($server, $dbuser, $dbpass, $usepconnect);
}
unset($server, $dbuser, $dbpass, $usepconnect, $sitepath, $db);
?>



5- قم بتغيير اللازم فيما سبق وبعدها قم بتشفير هذا الملف بالـ Zend Encoder ويفضل أن يكون الإصدار الأخير 4 .

6- قم برفع الملف datastore_info.php الى مجلد includes بنظام نقل binary .



أصبحت بياناتك مخزنه في ملف datastore_info.php
أما ملف config.php فاجعل بداخله بيانات وهميه وشفره بالزند كذلك.

الصريح جداً 04-08-2006 04:31 PM
هلا أخي العزيز أولا أشكرك على موضوعك

وثانيا :

انت بنفسك قلت ملف datastore_info.php

يعني الحين لو الهكر قرأ موضوعك

بيروح على طووول يستعرض ملف الكونفيق :) عن طريق datastore_info.php

وشكراً

LMSTY-DES 04-08-2006 07:18 PM
إقتباس:
اقتباس من مشاركة ^*lmsty*^
4- أنشيء ملف جديد قم بتسميته datastore_info.php وأكتب بوسطه مايلي:


أخوي الكريم أولا اشكرك علي مروك الطيب
ثانيا
بالنسبة لان المختق سوف يبحث عن datastore_info.php
بامكانك انشاء ملف باسم آخر ولكن بنفس المحتوي وبهذه الطريقة لن يتمكن المخترق من توقعها :)

الصريح جداً 05-08-2006 07:53 PM
هلا أخوي هل جربت الطريقة ؟؟؟

لأن فيه شي محير بالموضوع

وش عرفه المنتدى بإسم الكونفيق اللي أبيه يستعرضه

؟؟؟؟؟؟؟؟؟؟؟؟؟؟؟

لأن جميع الأكواد اللي طلبت التعديل عليها لا يوجد كود يدل على المنطقة


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 08:04 AM.

Powered by vBulletin
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012