ثغرة خطيرة انتبة لها vBulletin 3.0.X init.php SQL Injection

FlashFp · #1 30-12-2004, 11:14 AM

السلام عليكم ورحمة الله وبركاته

تم اكتشاف ثغره جديد في منتديات vb الجيل الثالث من قبل الاخ عندل

والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection

ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .

التـــرقـــيـــع :

توجد طريقتين

الأولى :

إضافة السطر التالي في ملف .htaccess

php_value magic_quotes_gpc 1

الثاني/ بتعديل ملف init.php .

قم بالبحث عن

كود PHP:


			
$datastoretemp = $DB_site->query(" 

    SELECT title, data 

    FROM " . TABLE_PREFIX . "datastore 

    WHERE title IN ('" . implode("', '", $specialtemplates) . "') 

"); 



unset($specials, $specialtemplates);

واستبداله بالتالي

كود PHP:


			
if(!is_array($specialtemplates)) 

    exit; 



$specialtemplate = array(); 

foreach ($specialtemplates AS $arrykey => $arryval) 

{ 

    $specialtemplate[] = addslashes($specialtemplates["$arrykey"]); 

} 



$datastoretemp = $DB_site->query(" 

    SELECT title, data 

    FROM " . TABLE_PREFIX . "datastore 

    WHERE title IN ('" . implode("', '", $specialtemplate) . "') 

"); 

unset($specials, $specialtemplates, $specialtemplate);

وصلتني على الايميل البارح

قلب جدة · #2 30-12-2004, 11:20 AM

مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟

vBulletin 3.0.X init.php SQL Injection

FlashFp · #3 30-12-2004, 04:06 PM

إقتباس:

اقتباس من مشاركة قلب جدة

	مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟ vBulletin 3.0.X init.php SQL Injection

اخوي الظاهر انت حول ويبيلك نظارات على العموم انا كاتب آخر شي جاني على الايميل
تحياتي لك

Hunter · #4 30-12-2004, 12:53 PM

لاهو منقول ولا غيره
الف منتدى كاتبه
وللعلم مكتشف هالثغره بريطاني
وتم تعريبها
بسكم ياعرب

فشلتونا

وانت يابو منتديات الليزر مافي غير منتداك اللي يكتب

هذا الويب العربي يعني اركد لاتسوي اعلانات

FlashFp · #5 30-12-2004, 04:33 PM

إقتباس:

اقتباس من مشاركة Hunter

	لاهو منقول ولا غيره الف منتدى كاتبه وللعلم مكتشف هالثغره بريطاني وتم تعريبها بسكم ياعرب فشلتونا وانت يابو منتديات الليزر مافي غير منتداك اللي يكتب هذا الويب العربي يعني اركد لاتسوي اعلانات

جزاك الله خير على الرد

وماينقص من الرجال الا الكذب
والله لايحدنا لها
لو شفت موقعك ياابو الشباب ابذكر لك منقول ومافي فرق بين منقول من موقع وايميل لانها للفائدة
على العموم اهنيك على الموقع الجميل والله يوفقك وللدعاية اسلوب ثاني

مصطفى زغلول · #6 30-12-2004, 03:40 PM

الف شكر ليك اخوى بارك الله فيك

FlashFp · #7 30-12-2004, 04:34 PM

إقتباس:

اقتباس من مشاركة Misr4Host

	الف شكر ليك اخوى بارك الله فيك

تحياتي واشكرك على المرور

FlashFp · #8 30-12-2004, 04:39 PM

ياعالم ترا موب انا مكتشف الثغرة انا ناقلها من ايميلي فقط علشان مايجي شخص ثاني يقول موب انت مكتشف الثغرة
وآسف اذا كتبت موضوع منقول من ايميل بس كنت ابي افيدكم ويظهر في ناس عقلها حجري ماعندها ماعند جدتي :d

اول فور هوست · #9 30-12-2004, 07:52 PM

الف شكر اخوي FlashFp

والله يعطيك العافية على النقل المفيد ..

وتحياتي لك،،

فريق عمل اول فور هوست

قلب جدة · #10 31-12-2004, 02:03 AM

اقول يا FlashFp عيب عليك

اولا المنتدى مو منتداي ولاني باللي قال ان الموضوع منقول من كاتبه الاصلي

لكن انت ناقل الموضوع بالحرف الواحد ؟؟؟؟؟!!!!!

لو انك كتبت كلمة منقول فقط ماكنت ردي عليك لكن واضح ان عقلك متحجر وتعتقد الناس بمثل تفكيرك

وعلى العموم جزال الله خير على اسلوبك الجميل !!

FlashFp · #11 31-12-2004, 11:47 AM

إقتباس:

اقتباس من مشاركة قلب جدة

	اقول يا FlashFp عيب عليك اولا المنتدى مو منتداي ولاني باللي قال ان الموضوع منقول من كاتبه الاصلي لكن انت ناقل الموضوع بالحرف الواحد ؟؟؟؟؟!!!!! لو انك كتبت كلمة منقول فقط ماكنت ردي عليك لكن واضح ان عقلك متحجر وتعتقد الناس بمثل تفكيرك وعلى العموم جزال الله خير على اسلوبك الجميل !!

والله عارف الاصول بس اذا جاء واحد على باله فاهم حبتين في النت وخبرته يومين يبي يعلمنا كلمة منقول
ثاني شي يعني موب علشان عندك موقع وشفت معلومة برة جاي تحارب كل واحد كتب الموضوع وانت اصلاً ناقلها طيب ورا ماصرت مثقف وكتبت منقول في منتداك وحتى لو تقول موب منتداي ليه ماقلت للرجال اكتب منقول ياشاطر ياالمتعلم يالخايف على النقل.
واعيدلك مافي شي يحدني من كتابة منقول اذا نقلتها من موقع ولكن جتني من واحد من الشباب من فريقي للتحذير منها.

قلب جدة · #12 31-12-2004, 12:48 PM

لو كنت صحيح تعرف الاصول ماكان هذا ردك ؟

ايش واحد خبرته يومين ؟؟

على العموم الرجال اللي كاتبها قال ان مكتشفها عندل

اما الموضوع هو اللي كاتبه

وانت ناقله بالحرف الواحد ؟

على العموم انسى ردي وجزاك الله خير على اسلوب التفاهم الجميل !!

FlashFp · #13 31-12-2004, 04:51 PM

إقتباس:

اقتباس من مشاركة قلب جدة

	لو كنت صحيح تعرف الاصول ماكان هذا ردك ؟ ايش واحد خبرته يومين ؟؟ على العموم الرجال اللي كاتبها قال ان مكتشفها عندل اما الموضوع هو اللي كاتبه وانت ناقله بالحرف الواحد ؟ على العموم انسى ردي وجزاك الله خير على اسلوب التفاهم الجميل !!

هههههههه طيب انت مانقلتها من عندل
اوكي انا نقلتها من عندل ههههههههه
امزح لاتصدقون
على قولتك انس الموضوع بس انت فتحت الباب

amr922 · #14 01-01-2005, 06:42 AM

السلام عليكم
كل سنة وانتم طيبين
شكرا اخى FlashFp

إقتباس:

	مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟

مش فارقة يااخى مادام الهدف واحد وهو النفع

تحياتى

سلاش أسود · #15 17-01-2005, 05:50 PM

ههههههههههههههههههههههههه ههههههههههههههههههههههههه هههههههههههههههههههههههه

ههههههههههههههههههههههههه ههههههههههههههههههههههههه هههههههههههههههه

الله يرجك ياشيخ قسم بالله انك منتهي

مشكور والله على المعلومة.

قايـــد الريــم · #16 22-01-2005, 12:48 AM

اخوي الكريم

هذا الحل هو قبل حدوث الثغره صحيح؟

طيب وبعد حدوثها وش الحل؟؟

تحياتي

السهم العربي · #17 22-01-2005, 01:13 AM

السلام عليكم ورحمة الله وبركاته
كل عام وانتم بخير
واهم شي موضوع هالثغرة مايسوي ثغرة بين الأعضاء
وتحياتي

Dooem · #18 26-01-2005, 07:44 AM

FlashFp
جزززززززززززاك الله خيررررررررر اخووووووي