Hack Forum Vbulettin Board.

Trang 1

Hack Forum Vbulettin Board

trang này đã được đọc lần

Cách này áp dụng chung cho tất cả các forum nào không đòi hỏi phải điền mật khẩu khi change email và đây là cách để hack forum vbb 2.3 trở xuống vì trong phiên bản mới 3.0 của vbb đã yêu cầu nhập password khi change email

Bước 1 : tạo 1 file đặt tên là popup.htm có nội dung như sau :

<html>

<tr>

<p><br>

 </p>

<p><br>

 </p>

<p>

 </p>

</center>

<p>

<tr>

</font></td>

</tr>

</table>

</form>

</td>

</tr>

</table>

</center>

</body>

</html>

bạn chú ý cái session , chúng ta nên để là khoảng trắng vì vì nó sẽ trả về session hiện tại của nạn nhân khi

ta thay đồi email của họ

Cái popup.htm này sẽ auto submit khi ta open nó > nạn nhân sẽ không hề hay biết họ đã bị change email

Khi hack bạn chú ý thay đổi cái action cho phù hợp với website mà mình muốn hack

Bạn có thể thay đổi cái email mask_nbta_83@yahoo.com thành email của mình hay email nào mà bạn muốn

Trang 2

Bước 2 : Tôi gọi website của tôi là http://www.masknbta.com/index.htm

Open source của cái index.htm , thêm đoạn code này vào :

window.open('popup.htm','Popup','width=30,height=30');

</script>

Khi nạn nhân view cái website của bạn thì 1 popup sẽ tự xuất hiện , và auto submit change email theo ý mình

Buớc 3 : dụ dỗ nạn nhân vào website : có rất nhiều cách nhưng để thực hiên đươc mục tiêu thì nhất định nạn nhân phải đang login trong forum mà ta muốn hack , tôi sẽ đưa ra 1 cách minh hoạ : đăng kí 1 account trong forum , private cho victim với nội dung là check dùm secure cho website , và sau đó mọi chuyện sẽ diễn ra theo đúng ý ta nếu victim click vào link

Sau khi change email thì bạn forgot password sau đó vào http://victim/admin/index.php với user và pass vừa có được

Điểm đặc bịêt cần lưu ý là email của bạn đăng kí trong forum phải không được trùng với email mà bạn muốn victim thay đổi , nếu không thì sẽ không đạt kết quả

Như vậy là đã xong cách hack

Cách fix :

Mở file admin/vbulletin.style tìm

<tr>

<td bgcolor="{secondaltcolor}"><normalfont><b>Confirm Email Address:</b></normalfont></td>

</tr>

them vao ben duoi :

<tr>

<td bgcolor="{secondaltcolor}"><normalfont><b>Your password:</b></normalfont></td>

<td bgcolor="{secondaltcolor}"><normalfont><input type="text" class="bginput" name="pword"

value="$bbuserinfo[password]" size="30" maxlength="150"></normalfont></td>

</tr>

Mở file /member.php , tìm:

if ($requireuniqueemail and $bbuserinfo['email']!=$email and $checkuser=$DB_site->query_first("SELECT userid,username,email FROM user WHERE email='".addslashes

thêm vào bên trên như thế này:

///////////////////////////////////////Mask's fix///////////////////////

if ($userinfo[password]!=$password)

{

die("Da duoc fix , dung hack vo ich");

}

////////////////////////////////////////////////////////////////////////

if ($requireuniqueemail and $bbuserinfo['email']!=$email and $checkuser=$DB_site->query_first("SELECT userid,username,email FROM user WHERE email='".addslashes

Trang 3

tim :

if ($email=="" or $emailconfirm=="")

them vao :

if ($email=="" or $emailconfirm=="" or $pword=="")

Tiêu đề	Hack Forum Vbulettin Board
Thể loại	bài viết

Định dạng
Số trang	3
Dung lượng	31 KB