Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Проверка на уязвимости (https://forum.antichat.xyz/forumdisplay.php?f=110)
-   -   megahyiptracer.com - проверьте плз (https://forum.antichat.xyz/showthread.php?t=44073)

dokwill 09.07.2007 12:16
megahyiptracer.com - проверьте плз
 
вот мой сайт проверьте плиз
буду благодарен
megahyiptracer.com
и 2 -й
http://www.megahyiptracer.com/hybann/h/
с ним давно мучаюсь
гдето скуел дыра

прошу помоши

Isis 09.07.2007 17:12
Открыта папка http://www.megahyiptracer.com/hybann/
Там лежит красивый файл mybesthell.php, к которому наверняка подходят дефолтные данные...
Шелл от пхп.су

Так вроде нашел что-то типа xss....
Yj выковрять сложно т.. striptags =\
http://www.megahyiptracer.com/hybann/h/
В своем профиле при изменении имени
Код:
'/>Zdes' est' striptags? =\

dokwill 09.07.2007 20:37
ссылка античата слева в партнерке
шелл мой - тестировал недавно

тип xss....
не интересует
1 - там и так идет сбор кук всех мимоходящих - так программеры развлекались - сам нашел недавно
поменял адрес на свой сниф и усе.
2 - там хеш такой что не открыть просто так
и в кукак он каждый раз разный
сам скрипт сдесь
http://www.megahyiptracer.com/hybann/h/hyip_script.zip
кстати в нем много чего интересного для каждого
админа - я лично забрал оттуда
1 -подсчет онлайн визиторов,
2 - спам по датабазе мыл (пишеш - нажимаеш и привет)
3 - зашита админки - проверка по айпи
при каждом заходе - мыло - ктото зашел в админку
листинг директорий по умолчанию всегда открыт
http://www.megahyiptracer.com/hybann/h/inc/admin
http://www.megahyiptracer.com/hybann/h/inc/libs
http://www.megahyiptracer.com/hybann/h/inc/libs/core
http://www.megahyiptracer.com/hybann/h/inc/libs/plugins/
mysql не видно случайно ?

tbody 11.08.2007 03:05
[blink]Sql Injection[/blink]

В поле Search Programs

запрос вида 123' выдает

You have an error in your SQL syntax; check the manual that corresponds to your MySQL server version for the right syntax to use near '') and (hl_listings.expiration = 0 || date_a' at line 13

Налицо SQL - дальше копать не стал, а надо?

George767 12.08.2007 11:13
Неужели еще кто-то ведется на hyip сайты-однодневки? А сайты с "мониторингом" ничто иное как обман ибо пишут мол надежный hyip платит стабильно, существует давно, хотя на самом деле...

А насчет script kiddies (подстановка опасных запросов) - просто используй htaccess вида:

RewriteRule ^xz/([0-9]{3})-([0-9]{6}).html$ xz/xz/index.php?id=$1&id_2=$2

и проблем никогда не будет

Листинг директорий тоже с помощью htaccess закрой


Время: 21:58