[tut] khai thÁc bug mod changuondyu - advanced statistics

Gần đây trên mạng xôn xao về việc 1 số diễn đàn bị hack bởi lỗi này
Mình xin phép phân tích như sau
1/ Đoạn code bị lỗi
Ở đây không kiểm tra giá trị của $_REQUEST['listforumid'] nhập vào
Ta có thể khai thác bằng cách thêm ")" để kết thúc query và thêm vào 1 query mới
2/ Khai thác

Hình ảnh của 1 REQUEST bình thường
Thử order xem sao

giờ đến union select thử

Chiến Thôi

root@localhost : forum : 5.5.27
Đến đây chắc ai cũng biết phải làm gì tiếp theo nhỉ 
p/s: chú nào có chơi Forum thì lo mà fix đi nhá


Nguồn : Leech

Chú Ý:

Coppy phải ghi rõ nguồn AnoJBvn
 

2 nhận xét:

  1. Unknownlúc 19:09 9 tháng 11, 2012

    kenhlamdong.net: chả biết fix , ngon thì hack đi

    Trả lờiXóa
  2. Jacker Blackerlúc 19:17 9 tháng 11, 2012

    nè thứ nhất 1 là bạn không phải admin website
    thứ 2: bạn ghét site nên mới mượn dao giết người
    thứ 3 : tụi mình không bao giờ đi hack web khác khi không có lý do chính đáng

    Trả lờiXóa

Lưu ý: Chỉ thành viên của blog này mới được đăng nhận xét.

Đăng ký: Đăng Nhận xét (Atom)

Copyright © AnoJBvn / Template by :Template X5- ShaDow