ثغرة بصندوق المحادثات الاصدار vBShout v2

MR.Ahmed · 12-13-2008, 08:17 PM

السلام عليكم ورحمة الله وبركاته
من فترة ابلغني كم عضو بإختراق صفحة أرشيف المحادثات اللي يكون على هذا الرابط
http://www.××××.com/vb/vbshout.php?
وتحويل الصفحة إلى صفحة إختراق بصيغة html
ورجعت وتابعت موضوع مبرمج الهاك وهو / Zero Tolerance ولقيته فعلاً اثبت وجود ثغرة بملف vbshout.php
وتم إنزال إصدار جديد وهو vBShout v2.1
وكان الموضوع نزل على الروابط التاليه
Major Additions - [AJAX/Flatfile] vBShout 2.1 - vBulletin Modifications
vBulletin Brasil - Powered by vBulletin
وعلى العموم تم تعريب وتطوير الهاك وترقيعه بميزات جديدة يعني جاهز بالكامل وهي كالتالي
1- إصلاح بعض الأخطاء البرمجية
2- إغلاق الثغرات الموجودة في الإصدار القديم
3- أوامر سهلة لحذف المحادثات بدفعة واحدة او حذف محادثات عضو معين
4- حذف خاصية الوقت والتاريخ حتى ما تسبب تشوه في صندوق المحادثة
5- خاصية تحديد عدد المشاركات حتى يستطيع بعدها العضو المشاركة في المحادثات
6- تحديد عدد معين يحدده المدير لكي يستطيع العضو بعدها استخدام خاصية الرسائل الخاصة
7- المحادثات يتم تخزينها في الملف اللي بيكون بأسم vbshout.html وليس على القاعدة
8- عند الضغط على اسم اي عضو في المحادثة تستطيع إرسال رسالة خاصة مباشرة
يعني فيه منتديات عدد اعضائها فوق 100 للمتواجدين حالياً ولو يبي يرسل لعضو معين بالمحادثة بيجلس يحوس على أسمه
لكن اللحين كل اللي عليه يضغط على الأسم في نفس الصندوق وراح يفتح له إرسال رسالة خاصة على طول
وهو على هذا الرابط لمن اراد حذف القديم وتركيب الجديد او تحميله من المرفقات جاهز
هاك صندوق المحادثة المطور الإصدار v2.1 ومعرب بالكامل ومغلق الثغرات - ::TRAIDNT FORUM::
اما من لا يرغب بتغيير الصندوق ويبي يعدل فقط ويرقع تفضل
ابحث في ملف vbshout.php عن التالي

كود PHP:

  function bbcodeparser($text = '') 
{ 
    global $vbulletin; 
    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text; 
    } 
}

وأستبدله بالتالي

كود PHP:

  function bbcodeparser($text = '', $striphtml = true) 
{ 
    global $vbulletin; 
    if ($striphtml) 
    { 
        //$text = htmlspecialchars_uni(trim($text)); 
    } 
    if ($vbulletin->options['shout_bbcode']) 
    { 
        return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); 
    } 
    else 
    { 
        return $text; 
    } 
}

ملاحظة هامة جداً نقلا عن أخونا رياح الحب :
لحظت عند قيامي بفحص احد المواقع ان بعض من ضعاف النفوس ممن يأخذون موضوعي هذا
وينقلونه إلى منتديات أخرى يقوموم بتلغيم ملف vbshout.php وهذا إثبات لكلامي بالصور

اي هاك منقول في منتديات تطويرية أخرى وليست بأسمي ولا انا كتبتها لا اتحمل مسئولية الهاك
المنتديات المشارك بها هي كالتالي
ترايدنت
سوالف سوفت
الويب العربي
مدرسة المشاغبين
غير اللي مذكور بالأعلى ليس لي به اي صلاحيات
واللي يبي يركب الهاك يركب اللي انا شارحه واللي طرحته في المرفقات فقط لا غير
وجب التنبيه

12-13-2008, 08:17 PM	رقم المشاركة : [1 (permalink)]
MR.Ahmed Ξ vBulletin Developer Ξ بيانات موقعي: إسم الموقع : معهد العرب التطويري إصدار المنتدى : 3.8.1	ثغرة بصندوق المحادثات الاصدار vBShout v2 السلام عليكم ورحمة الله وبركاته من فترة ابلغني كم عضو بإختراق صفحة أرشيف المحادثات اللي يكون على هذا الرابط http://www.××××.com/vb/vbshout.php? وتحويل الصفحة إلى صفحة إختراق بصيغة html ورجعت وتابعت موضوع مبرمج الهاك وهو / Zero Tolerance ولقيته فعلاً اثبت وجود ثغرة بملف vbshout.php وتم إنزال إصدار جديد وهو vBShout v2.1 وكان الموضوع نزل على الروابط التاليه Major Additions - [AJAX/Flatfile] vBShout 2.1 - vBulletin Modifications vBulletin Brasil - Powered by vBulletin وعلى العموم تم تعريب وتطوير الهاك وترقيعه بميزات جديدة يعني جاهز بالكامل وهي كالتالي 1- إصلاح بعض الأخطاء البرمجية 2- إغلاق الثغرات الموجودة في الإصدار القديم 3- أوامر سهلة لحذف المحادثات بدفعة واحدة او حذف محادثات عضو معين 4- حذف خاصية الوقت والتاريخ حتى ما تسبب تشوه في صندوق المحادثة 5- خاصية تحديد عدد المشاركات حتى يستطيع بعدها العضو المشاركة في المحادثات 6- تحديد عدد معين يحدده المدير لكي يستطيع العضو بعدها استخدام خاصية الرسائل الخاصة 7- المحادثات يتم تخزينها في الملف اللي بيكون بأسم vbshout.html وليس على القاعدة 8- عند الضغط على اسم اي عضو في المحادثة تستطيع إرسال رسالة خاصة مباشرة يعني فيه منتديات عدد اعضائها فوق 100 للمتواجدين حالياً ولو يبي يرسل لعضو معين بالمحادثة بيجلس يحوس على أسمه لكن اللحين كل اللي عليه يضغط على الأسم في نفس الصندوق وراح يفتح له إرسال رسالة خاصة على طول وهو على هذا الرابط لمن اراد حذف القديم وتركيب الجديد او تحميله من المرفقات جاهز هاك صندوق المحادثة المطور الإصدار v2.1 ومعرب بالكامل ومغلق الثغرات - ::TRAIDNT FORUM:: اما من لا يرغب بتغيير الصندوق ويبي يعدل فقط ويرقع تفضل ابحث في ملف vbshout.php عن التالي كود PHP: `function bbcodeparser($text = '') { global $vbulletin; if ($vbulletin->options['shout_bbcode']) { return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); } else { return $text; } }` وأستبدله بالتالي كود PHP: `function bbcodeparser($text = '', $striphtml = true) { global $vbulletin; if ($striphtml) { //$text = htmlspecialchars_uni(trim($text)); } if ($vbulletin->options['shout_bbcode']) { return $vbulletin->vbshout_parse->parse(convert_url_to_bbcode($text), 'nonforum'); } else { return $text; } }` ملاحظة هامة جداً نقلا عن أخونا رياح الحب : لحظت عند قيامي بفحص احد المواقع ان بعض من ضعاف النفوس ممن يأخذون موضوعي هذا وينقلونه إلى منتديات أخرى يقوموم بتلغيم ملف vbshout.php وهذا إثبات لكلامي بالصور اي هاك منقول في منتديات تطويرية أخرى وليست بأسمي ولا انا كتبتها لا اتحمل مسئولية الهاك المنتديات المشارك بها هي كالتالي ترايدنت سوالف سوفت الويب العربي مدرسة المشاغبين غير اللي مذكور بالأعلى ليس لي به اي صلاحيات واللي يبي يركب الهاك يركب اللي انا شارحه واللي طرحته في المرفقات فقط لا غير وجب التنبيه
	التوقيع: أرجوكم أن تدعولي بالتوفيق في دراستي هذه السنة استمع للقرآن الكريم بكافة الاصوات والقراء وساهم في نشره تنل الثواب http://www.tvquran.com/

أدوات الموضوع
مشاهدة صفحة طباعة الموضوع أرسل هذا الموضوع إلى صديق
انواع عرض الموضوع
العرض العادي الانتقال إلى العرض المتطور الانتقال إلى العرض الشجري

المواضيع المتشابهه
الموضوع	كاتب الموضوع	المنتدى	مشاركات	آخر مشاركة
صندوق المحادثات بالاجاكس VSa - ChatBox v3.1.5	™M® EmaD	ركــن تطوير النـسخة vBulletin 4.x	4	02-26-2010 06:47 PM
افتراضي حدا سمع عن ثغرة Header	ayalsule	ركــن مشاكل وطلبات وإستفسارات	3	01-03-2010 11:38 PM
ترقيع 3.8.3 ثغرة 3.8.3	MR.Ahmed	ركــن حماية الموقع والمنتديات	0	08-12-2009 04:48 PM
ترقيع PL1 للنسخة 3.7.4 ........ ثغرة Xss	MR.Ahmed	ركــن حماية الموقع والمنتديات	0	11-23-2008 07:55 PM
ترقيع ثغرة 3.6.9 .... هام	MR.Ahmed	ركــن حماية الموقع والمنتديات	0	11-04-2008 09:13 PM

الذين يشاهدون محتوى الموضوع الآن : 1 ( الأعضاء 0 والزوار 1)

ثغرة بصندوق المحادثات الاصدار vBShout v2

ركــن حماية الموقع والمنتديات

روابط مرتبطة بالمعهد