ثغرة vb3.8.6، ثغرة vb 3.8.6 ثغرة في بي 3.8.6 ثغرة 3.8.6 ثغرة vbulletin 3.8.6 ثغرة vbulletin Information Disclosure Vulnerability
السلام عليكم ورحمة الله وبركاته
هذا الشرح اهداء لجميع اعضاء المنظمة
درسنا اليوم هو استغلال ثغرة Information Disclosure Vulnerability التي ظهرت في نسخة vBulletin 3.8.6
صحيح ان الشرح جاء متأخرا، ولكن أن يأتي متأخرا خير من أن لا يأتي أبدا
رابط الثغرة في مواقع السيكيورتي:
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]معلومات عن الثغرة
عنوان الثغرة: vBulletin 3.8.6 faq.php Vulnerability
تاريخ الثغرة: 24/07/2010
النسخة: 3.8.6
الدورك: powered by vBulletin Version 3.8.6
شرح الثغرة
صراحة إنني أجدها غريبه أن تقع شركة مثل vBulletin بالخطأ هذا.
هذه الثغرة تم نشرها وتم إصدار ترقيع لها للعلم
ملف faq.php تأثر بشكل غير مباشر،
أين هي الثغرة؟!
هيا نذهب إلى ملف /install/vbulletin-language.xml في النسخة، نفتحه ونقوم بالبحث عن database_ingo
ماذا نجد؟!
كود:
<phrase name="database_ingo" date="1271086009" username="Jelsoft" version="3.8.5"><![CDATA[Database Name: {$vbulletin->config['Database']['dbname']}<br />
Database Host: {$vbulletin->config['MasterServer']['servername']}<br />
Database Port: {$vbulletin->config['MasterServer']['port']}<br />
Database Username: {$vbulletin->config['MasterServer']['username']}<br />
Database Password: {$vbulletin->config['MasterServer']['password']}]]></phrase>
هذه الكودات تستطيع استدعاء معلومات الكونفيق، وهنا تكمن الثغرة!!
الإستغلال
نذهب إلى أي منتدى مصاب بالثغرة
تستطيع الذهاب إلى جوجل وكتابة powered by vBulletin Version 3.8.6 اذهب إلى الصفحة العاشرة وستجد الكثير من المواقع المصابة
ادخل إلى التعليمات
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]واكتب في مربع البحث كلمة Database ثم اضغط على "بحث"
انتظر قليلا وستحصل على ملعومات الكونفيق جاهزة
هذه صورة للتوضيح
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذه الصورة]شرح بالفيديو
ولمن يريد رؤية استغلال مباشر للثغرة عن طريق شرح فيديو قم بتحميل الشرح من الرابط التالي (مرفوع على 14 مركز تحميل)
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]باسوورد فك الضغط:
كود:
[ندعوك للتسجيل في المنتدى أو التعريف بنفسك لمعاينة هذا الرابط]أتمنى لكم مشاهدة ممتعة
منقوووول
الإثنين أكتوبر 04, 2010 9:01 pm