Vota por nosotros en el ranking web que participamos

Curso Hacker
Bienvenido(a), Visitante. Favor de ingresar o registrarse.
¿Perdiste tu email de activación? - Octubre 11, 2008, 03:14:35
Inicio Ayuda Ingresar Registrarse
Visita: Articulos - Juegos Gratis - Da Foros

Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  Bug y Exploits (Moderadores: OzX, [ E0F ] d0RkNet)  |  Tema: exploit para los foros SMF 1.1.4 0 Usuarios y 1 Visitante están viendo este tema. « anterior próximo »
Páginas: [1] Ir Abajo Imprimir
Autor Tema: exploit para los foros SMF 1.1.4  (Leído 773 veces)
AnUbIsSs
Habitual
*****
Desconectado Desconectado

Mensajes: 239


Que coño miras el foro esta a la derecha xD


Ver Perfil WWW
« en: Mayo 06, 2008, 06:11:00 »
bueno los foros de hoy en dia son de smf y las versiones que siempre veo son de 1.1.4 (aora sacaron la version 1.1.5) bueno pues entonces pensé abra bugs para esta versión
decidi buscar algo para esta version y bueno al parecer lo encontré pero no se si funcionará
opinen vosotros la pagina donde lo encontré en cuestión es esta.


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
http://seclists.org/bugtraq/2008/Mar/0370.html
« Última modificación: Mayo 06, 2008, 11:34:48 por AnUbIsSs » En línea
OzX
Moderadores
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 2100


www.nullbytes.net


Ver Perfil WWW
« Respuesta #1 en: Mayo 07, 2008, 06:24:56 »
hi bro.
buscando y buscando me parece que el autor no puso suficiente informacion sobre el tema.



Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion

Citar
Mike Duncan (Mike Duncan noaa gov)
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

If you look at the source, it is looking for a constant SMF and if this
is undefined, it will die with that error message.

- From line 24 of Sources/Themes.php:
if(!defined('SMF'))
die('Hacking attempt...');

I looked over the source and like so many of these RFIs coming out
lately, they highly depend on register_globals being on as well.

I think s/he is specifically pointing to line 913 of Sources/Themes.php
as well...
if (file_exists($settings['theme_dir'] . '/languages/Settings.' .
$user_info['language'] . '.php'))
include($settings['theme_dir'] . '/languages/Settings.' .
$user_info['language'] . '.php');

(sorry for wrapping)

sibertrwolf: Just a suggestion, you may want to put a bit more
information in your disclosures like what versions of PHP and what INI
settings you have set.


Marque en Rojo el Porque Cheesy
En línea

Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
www.NULLBYTES.Net
LogMare
Colaborador
*****
Desconectado Desconectado

Mensajes: 614


la vida aveces es dura pero recompensa ya veran


Ver Perfil WWW
« Respuesta #2 en: Julio 25, 2008, 06:20:29 »
Hola

Para los que saben phyton.

Un exploit para smf 1.1.4

Remote SQL Injection Exploit


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion

salu2!!
En línea


Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
AnUbIsSs
Habitual
*****
Desconectado Desconectado

Mensajes: 239


Que coño miras el foro esta a la derecha xD


Ver Perfil WWW
« Respuesta #3 en: Julio 27, 2008, 11:43:07 »
 Shocked Shocked Shocked Shocked cuando lo sacaron? bueno voy a probar aver que tal
va


buen aporte!

Salu2:

AnUbIsSs
En línea
[ E0F ] d0RkNet
[ E0F ] d0RkNet
Moderadores
Gran Colaborador
*****
Desconectado Desconectado

Mensajes: 3054


Bo0mbInG StyLe.


Ver Perfil
« Respuesta #4 en: Julio 27, 2008, 11:58:37 »
nada mas sacar la version smf 1.1.5, sacaron a la luz el bug de la 1.1.4



saludos
En línea
La imaginacion es lo mas poderoso que ha conocido el ser humano

Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion

Necesitas ser usuario para ver los enlaces Crear Usuario  Hacer Sesion
;-)
er_davids
Miembro
*****
Desconectado Desconectado

Mensajes: 66



Ver Perfil
« Respuesta #5 en: Julio 30, 2008, 04:41:29 »
Pues yo lo probé montando SMF 1.1.4 en mi servidor apache y el exploit me lo daba como OK pero no me daba privilegios de admin, me di cuenta que me insertaba la SQL inyection en los mensajes privados, en las Tags, pero no hacía mas x'DD
En línea
Páginas: [1] Ir Arriba Imprimir 
Comunidad Underground Hispana  |  Phreaking, Hacking y Seguridad  |  Bug y Exploits (Moderadores: OzX, [ E0F ] d0RkNet)  |  Tema: exploit para los foros SMF 1.1.4 « anterior próximo »
Ir a:  


Ranking-Hits
Powered by SMF 1.1.6 | SMF © 2006-2007, Simple Machines LLC