To jest tylko wersja do druku, aby zobaczyć pełną wersję tematu, kliknij TUTAJ
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
Wersje 1.9 i starsze - UWAGA! Wielka dziura w kazdym phpBB by Przemo i oryginalnym
jacekowski - 25-03-2004, 20:29
jest już nowe phpbb nawet nie poprawki
azazello - 25-03-2004, 20:36
o syf troche poprawiania jest ;)
phpbb.com
XoNoX - 25-03-2004, 21:05
czy w tej wersji 1.8, co jest teraz do sciagniecia ze strony przemo.org, zostalo to juz uwzglednione? bo wg mnie brakuje tam przy opisie co mozna sciagnac: daty i godziny modyfikacji danej wersji pliku ;) tak nie mozna sie zorientowac, czy juz cos bylo zmieniane czy nie
cya
Anonymous - 25-03-2004, 21:14
To i tak nie zalatwia w pelni problemu bo:
http://bugtraq.cc-team.org/pokaz.php?id=295 napisał/a:
[img*]http://www.attacker.com/images/pic008.jpg[/img]
Czy obrazek ten jest w jakims stopniu podejrzany ;) ? Nie ;D
Madry atakujacy wykorzysta zaawansowane funkcje Apache'a i jesli przegladarka klienta zglosci prosbe o obrazek z atakowanego serwera, wowczas serwer poprostu przekieruje przegladarke na nowy, "uszkodzony" url ;) .

...wiec nadal bedzie mozna wylogowac uzytkownika i pewnie jeszcze kilka innych rzeczy.
Widmo - 25-03-2004, 21:17
Cytat:
dokladny string do admina podawac?


PRZEZ TEN BLAD NIE NIE MOZNA UZYSKAC ADMINA.

ale udalo mi sie znalezc link KASUJACY CALE KONTO ADMINA... :!:

Jego prostota mnie przeraza :!: :shock:
Ashganek - 25-03-2004, 21:29
if(ereg('\.(php|htm|admin)', $zmienna)) message_die(GENERAL_ERROR, 'Zdychaj podróbo hackera');
Grucha - 25-03-2004, 22:02
Czy może b?dze łatka NR4 ?
kurak_13 - 25-03-2004, 22:29
Wicie co jest najgorsze - jak sie odinstaluje forum :) bo zdaje sie ze mozna - szukam wlasnie linka :)
dawor - 25-03-2004, 22:52
Przemo napisał/a:
Ok, nie ma co to jest zbyt niebezpieczne. Obowiazkowo kazdy niech otworzy plik /includes/bbcode.php i zamieni: $replacements[] = $bbcode_tpl['img'];
na:
$replacements[] = "[IMG]Tymczasowo wylaczone[/IMG]";
I czekamy co panowie z phpBB Group wymysla, ale czuje ze nie bedzie prostej roboty i trzeba bedzie wiele plikow w phpBB zamieniac.


Jestem słaby w te klocki ale dzięki za info.. Skorzystałem powyższej wskazówki.

na http://www.phpbb2.pl/?m=news&n=75 proponowali zmianą kodu $text = preg_replace("#[img]((ht|f)tp://)([^
na

$text = preg_replace("#[img]((ht|f)tp://)([^ ?&="


tyle ze ja takowego w mojej wersji forum (2.0.01) nie znalazłem....
Widmo - 25-03-2004, 22:55
kurak_13 napisał/a:
Wicie co jest najgorsze - jak sie odinstaluje forum :) bo zdaje sie ze mozna - szukam wlasnie linka :)


mozna - a jak znajdziesz wyslij na PW - dolacze do kolekcji :D

Tylko nie walnij na forum... bo może byc duze KUKU...
luki_xx3 - 25-03-2004, 23:06
h**p://domena.pl!?L/admin.php?op=AddAuthor&add_aid=lukz&add_name=luki&add_pwd=lookixx3&add_email=lol_xx3@o2.pl&add_radminsuper=1

jesli mi ktos takie cos wyslal w private ? to jakie sa dane konta ? ;/ musze usunac
dabix - 25-03-2004, 23:09
hmmm zastanawia mnie fakt czemu to nie dziala na moim forum, a może co? zle robie?
wpisuje:
admin.php?op=AddAuthor&add_aid=aaaaa&add_name=war&add_pwd=aaaaa&add_email=kala.cos.pl&add_radminsuper=1
a tu pi**
czy ten user ktorego wpisuje musi byc zarejstrowany juz wczesniej czy to stworzy nowe konto? mozna co? wiecej na ten temat sie dowiedziec? jesli nie chcecie tu pisać to zapraszam na gg 1876432
-=Maciek=- - 25-03-2004, 23:11
h**p/domena.pl!?L/admin.php?op=AddAuthor&add_aid=lukz&add_name=luki&add_pwd=lookixx3&add_email=lol_xx3@o2.pl&add_radminsuper=1



;-)
Anonymous - 25-03-2004, 23:11
To jest exploit do Nukea, a nie do phpBB.
dabix - 25-03-2004, 23:18
znajac adres phpbb mozna dodac tez admina forum? ehhh i pewnie nawet kazdego innego skryptu wykorzystujacego bbcode?


Powered by phpBB modified by Przemo © 2003 phpBB Group