الويب العربي

الويب العربي (http://www.arabwebtalk.com/index.php)
-   أمن المعلومات (http://www.arabwebtalk.com/forumdisplay.php?f=13)
-   -   ثغرة خطيرة انتبة لها vBulletin 3.0.X init.php SQL Injection (http://www.arabwebtalk.com/showthread.php?t=2877)

FlashFp 30-12-2004 11:14 AM
ثغرة خطيرة انتبة لها vBulletin 3.0.X init.php SQL Injection
 
السلام عليكم ورحمة الله وبركاته

تم اكتشاف ثغره جديد في منتديات vb الجيل الثالث من قبل الاخ عندل

والثغره موجوده في ملف init.php وتحديداً في سطر 542 وهي ثغرة SQL Injection

ويتم نجاح هذه الثغره إذا كانت خاصية magic_quotes_gpc معطله OFF داخل الـ PHP .

التـــرقـــيـــع :

توجد طريقتين

الأولى :

إضافة السطر التالي في ملف .htaccess

php_value magic_quotes_gpc 1

الثاني/ بتعديل ملف init.php .

قم بالبحث عن

كود PHP:
$datastoretemp $DB_site->query(
    SELECT title, data 
    FROM " TABLE_PREFIX "datastore 
    WHERE title IN ('" implode("', '"$specialtemplates) . "') 
"); 

unset($specials$specialtemplates); 

واستبداله بالتالي


كود PHP:
if(!is_array($specialtemplates)) 
    exit; 

$specialtemplate = array(); 
foreach ($specialtemplates AS $arrykey => $arryval

    $specialtemplate[] = addslashes($specialtemplates["$arrykey"]); 


$datastoretemp $DB_site->query(
    SELECT title, data 
    FROM " TABLE_PREFIX "datastore 
    WHERE title IN ('" implode("', '"$specialtemplate) . "') 
"); 
unset($specials$specialtemplates$specialtemplate); 
وصلتني على الايميل البارح

قلب جدة 30-12-2004 11:20 AM
مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟

vBulletin 3.0.X init.php SQL Injection

Hunter 30-12-2004 12:53 PM
لاهو منقول ولا غيره
الف منتدى كاتبه
وللعلم مكتشف هالثغره بريطاني
وتم تعريبها
بسكم ياعرب :) فشلتونا

وانت يابو منتديات الليزر مافي غير منتداك اللي يكتب

هذا الويب العربي يعني اركد لاتسوي اعلانات

مصطفى زغلول 30-12-2004 03:40 PM
الف شكر ليك اخوى بارك الله فيك

FlashFp 30-12-2004 04:06 PM
إقتباس:
اقتباس من مشاركة قلب جدة
مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟

vBulletin 3.0.X init.php SQL Injection
اخوي الظاهر انت حول ويبيلك نظارات على العموم انا كاتب آخر شي جاني على الايميل
تحياتي لك

FlashFp 30-12-2004 04:33 PM
إقتباس:
اقتباس من مشاركة Hunter
لاهو منقول ولا غيره
الف منتدى كاتبه
وللعلم مكتشف هالثغره بريطاني
وتم تعريبها
بسكم ياعرب :) فشلتونا

وانت يابو منتديات الليزر مافي غير منتداك اللي يكتب

هذا الويب العربي يعني اركد لاتسوي اعلانات
جزاك الله خير على الرد

وماينقص من الرجال الا الكذب
والله لايحدنا لها
لو شفت موقعك ياابو الشباب ابذكر لك منقول ومافي فرق بين منقول من موقع وايميل لانها للفائدة
على العموم اهنيك على الموقع الجميل والله يوفقك وللدعاية اسلوب ثاني

FlashFp 30-12-2004 04:34 PM
إقتباس:
اقتباس من مشاركة Misr4Host
الف شكر ليك اخوى بارك الله فيك
تحياتي واشكرك على المرور

FlashFp 30-12-2004 04:39 PM
ياعالم ترا موب انا مكتشف الثغرة انا ناقلها من ايميلي فقط علشان مايجي شخص ثاني يقول موب انت مكتشف الثغرة
وآسف اذا كتبت موضوع منقول من ايميل بس كنت ابي افيدكم ويظهر في ناس عقلها حجري ماعندها ماعند جدتي :d

اول فور هوست 30-12-2004 07:52 PM
الف شكر اخوي FlashFp

والله يعطيك العافية على النقل المفيد ..

وتحياتي لك،،

فريق عمل اول فور هوست

قلب جدة 31-12-2004 02:03 AM
اقول يا FlashFp عيب عليك

اولا المنتدى مو منتداي ولاني باللي قال ان الموضوع منقول من كاتبه الاصلي

لكن انت ناقل الموضوع بالحرف الواحد ؟؟؟؟؟!!!!!

لو انك كتبت كلمة منقول فقط ماكنت ردي عليك لكن واضح ان عقلك متحجر وتعتقد الناس بمثل تفكيرك

وعلى العموم جزال الله خير على اسلوبك الجميل !!

FlashFp 31-12-2004 11:47 AM
إقتباس:
اقتباس من مشاركة قلب جدة
اقول يا FlashFp عيب عليك

اولا المنتدى مو منتداي ولاني باللي قال ان الموضوع منقول من كاتبه الاصلي

لكن انت ناقل الموضوع بالحرف الواحد ؟؟؟؟؟!!!!!

لو انك كتبت كلمة منقول فقط ماكنت ردي عليك لكن واضح ان عقلك متحجر وتعتقد الناس بمثل تفكيرك

وعلى العموم جزال الله خير على اسلوبك الجميل !!
والله عارف الاصول بس اذا جاء واحد على باله فاهم حبتين في النت وخبرته يومين يبي يعلمنا كلمة منقول
ثاني شي يعني موب علشان عندك موقع وشفت معلومة برة جاي تحارب كل واحد كتب الموضوع وانت اصلاً ناقلها طيب ورا ماصرت مثقف وكتبت منقول في منتداك وحتى لو تقول موب منتداي ليه ماقلت للرجال اكتب منقول ياشاطر ياالمتعلم يالخايف على النقل.
واعيدلك مافي شي يحدني من كتابة منقول اذا نقلتها من موقع ولكن جتني من واحد من الشباب من فريقي للتحذير منها.

قلب جدة 31-12-2004 12:48 PM
لو كنت صحيح تعرف الاصول ماكان هذا ردك ؟

ايش واحد خبرته يومين ؟؟

على العموم الرجال اللي كاتبها قال ان مكتشفها عندل

اما الموضوع هو اللي كاتبه

وانت ناقله بالحرف الواحد ؟

على العموم انسى ردي وجزاك الله خير على اسلوب التفاهم الجميل !!

FlashFp 31-12-2004 04:51 PM
إقتباس:
اقتباس من مشاركة قلب جدة
لو كنت صحيح تعرف الاصول ماكان هذا ردك ؟

ايش واحد خبرته يومين ؟؟

على العموم الرجال اللي كاتبها قال ان مكتشفها عندل

اما الموضوع هو اللي كاتبه

وانت ناقله بالحرف الواحد ؟

على العموم انسى ردي وجزاك الله خير على اسلوب التفاهم الجميل !!
هههههههه طيب انت مانقلتها من عندل
اوكي انا نقلتها من عندل ههههههههه
امزح لاتصدقون
على قولتك انس الموضوع بس انت فتحت الباب

amr922 01-01-2005 06:42 AM
السلام عليكم
كل سنة وانتم طيبين
شكرا اخى FlashFp


إقتباس:
مشكور لكن لو انك كاتب ان الموضوع منقول مو أفضل ؟؟
مش فارقة يااخى مادام الهدف واحد وهو النفع

تحياتى :):):)

سلاش أسود 17-01-2005 05:50 PM
هلا اخوي
 
ههههههههههههههههههههههههه ههههههههههههههههههههههههه هههههههههههههههههههههههه

ههههههههههههههههههههههههه ههههههههههههههههههههههههه هههههههههههههههه


الله يرجك ياشيخ قسم بالله انك منتهي

مشكور والله على المعلومة.

قايـــد الريــم 22-01-2005 12:48 AM
اخوي الكريم

هذا الحل هو قبل حدوث الثغره صحيح؟

طيب وبعد حدوثها وش الحل؟؟

تحياتي

السهم العربي 22-01-2005 01:13 AM
السلام عليكم ورحمة الله وبركاته
كل عام وانتم بخير
واهم شي موضوع هالثغرة مايسوي ثغرة بين الأعضاء
وتحياتي

Dooem 26-01-2005 07:44 AM
FlashFp
جزززززززززززاك الله خيررررررررر اخووووووي


جميع الأوقات بتوقيت مكة المكرمة. الساعة الآن » 03:58 PM.

Powered by vBulletin
Copyright ©2000 - 2025, Jelsoft Enterprises Ltd.
Copyright © ArabWebTalk.Com 2004-2012