Найдена уязвимость DLE - SEO форум MaulTalk.com

Найдена уязвимость DLE

Опции

WETLER

Topic Starter

12.9.2010, 17:18; Ответить: WETLER

Сообщение #31

БАН

Группа: Banned
Сообщений: 2466
Регистрация: 1.4.2009
Поблагодарили: 412 раз
Репутация:

95

Здравствуйте!

На днях мной с кентом была найдена серьёзная уязвимость в DLE.
Она контролирует 70-80% сайтов. Включая эпидемы, терабиты, систисмайлы и так далее.
С её помощью получаем доступ к БД (phpMyAdmin), админку и там соответственно уже фтп.

Что делать с таким даром - решить не могу.
Предлагали купить за 3k$ , отказались. Если продадим - будет апокалипсис в интернете.
Заплатка конечно к ней тоже уже готова. Продавать заплатки - тоже не вариант.
Самим использовать - чёрными делами не занимаемся.

Жду Ваших советов.

Кто хочет проверить свои сайты на уязвимости - пишем в ICQ.
Ломать ничего не буду, продемонстрирую уязвимости.

Только что продемонстрировал уязвимость пользователю Gad3000 .
Заплатки конечно давать не буду, но некие рекомендации дать смогу.

P/S: Уязвимость не действует в ДЛЕ 9.0 .
Но посоветовать всем обновиться до этой версии не могу, ибо там потеряны другие багфиксы и дыр не меньше.

Сообщение отредактировал WETLER - 12.9.2010, 17:20

--------------------

БАН - http://www.maultalk.com/topic140665.html

Поблагодарили: (2)

Bra1n, dimonsuper

0

Ответить с цитированием данного сообщения

Highlook Highlook 12.9.2010, 18:41; Сообщений: 1496 Поблагодарили: 334 раза Репутация: 41 Просмотр профиля	12.9.2010, 18:41; Ответить: Highlook Сообщение #32
Софт на заказ, icq ниже Группа: Active User Сообщений: 1496 Регистрация: 28.4.2009 Поблагодарили: 334 раза Репутация: 41	ТС, на первой странице вам дали хороший ответ: Ну а что делать? Можно найти одновременно 10-15 покупателей, которые готовы купить заплатку за ~3-5k$ и продать. Вот вам и будет 50 000$. 50000$ это не копейки. Поблагодарили: (1) WETLER

phoenix_kys phoenix_kys 12.9.2010, 18:43; Сообщений: 1545 Поблагодарили: 243 раза Репутация: 37 Просмотр профиля	12.9.2010, 18:43; Ответить: phoenix_kys Сообщение #33
Старожил Группа: Active User Сообщений: 1545 Регистрация: 15.5.2009 Поблагодарили: 243 раза Репутация: 37	уязвимость в лицензионных или нуленых?)

Zol Zol 12.9.2010, 18:44; Сообщений: 53 Поблагодарили: 3 раза Репутация: -4 Просмотр профиля	12.9.2010, 18:44; Ответить: Zol Сообщение #34
Частый гость Группа: User Сообщений: 53 Регистрация: 20.8.2010 Поблагодарили: 3 раза Репутация: -4	Я кстати думаю что создатели ДЛЕ вам заплатят за нее хорошие деньжатки, если все доказательства предоставите. -------------------- Просто хороший сайт кино онлайн Linkum

mdobyshev mdobyshev 12.9.2010, 18:46; Сообщений: 958 Поблагодарили: 139 раз Репутация: 25 Просмотр профиля	12.9.2010, 18:46; Ответить: mdobyshev Сообщение #35
Завсегдатай Группа: Active User Сообщений: 958 Регистрация: 2.3.2009 Из: Краматорск Поблагодарили: 139 раз Репутация: 25	Если всем выложить бесплатно, то думаю ваша репутация на форуме зашкалит! Хотите попрубуйте -------------------- Лучший хостинг для ваших сайтов! Автомобильный сайт Поблагодарили: (1) WETLER

Bra1n Bra1n 12.9.2010, 18:47; Сообщений: 1089 Поблагодарили: 214 раз Репутация: 42 Просмотр профиля	12.9.2010, 18:47; Ответить: Bra1n Сообщение #36
Мозговой штурм Группа: Active User Сообщений: 1089 Регистрация: 24.5.2008 Поблагодарили: 214 раз Репутация: 42	Сайт предоставил - в итоге через минуту мне предоставили данные файла dbconfig.php я в шоке конечно... в злых руках этот инструмент вселенское зло mdobyshev вы хоть понимаете что будет если в паблик выложить? да куча длешных сайтов под откос пойдёт, начиная с самых крупных порталов... нет уж извольте Сообщение отредактировал Bra1n - 12.9.2010, 18:48 Поблагодарили: (1) WETLER

seogid seogid 12.9.2010, 18:47; Сообщений: 79 Поблагодарили: 28 раз Репутация: 3 Просмотр профиля	12.9.2010, 18:47; Ответить: seogid Сообщение #37
клоновод Группа: Banned Сообщений: 79 Регистрация: 8.9.2010 Поблагодарили: 28 раз Репутация: 3	ТС вы уверены что баг во всех dle а не именно в нуленых движках? -------------------- клоновод

PaketikPRO PaketikPRO 12.9.2010, 18:48; Сообщений: 228 Поблагодарили: 63 раза Репутация: 14 Просмотр профиля	12.9.2010, 18:48; Ответить: PaketikPRO Сообщение #38
Участник Группа: User Сообщений: 228 Регистрация: 27.10.2009 Поблагодарили: 63 раза Репутация: 14	Против ТС нечего не имею но он ищет лохов у которых стоит нулл версия с шелами. Сам имею много сайтов на dle, ТС-у дал два (один чужой ) Оба сайта стоят на лицензии и тс обосрался и провалил свой псевдо тест, так же он врет что бага будет работать на эпидеме Она там не может работать так как на эпидеме стоит лицензия движка (как и у меня) Вывод: Юзайте лицензию и будет вам счастье. Вывод 2: Тс нагло врет и сжечь его за это. Вывод 3: через эту багу базу слить нельзя (при условие наличия рук у админа) В админку попасть тем более (при условие правильной настройки движка) Да тс, вы еще и лох (извиняюсь иначе вас назвать нельзя) все ваши действия я посмотрел в логах и только из-за солидарности не буду палить багу ( а бага кстати в паблике) ДАННЫЙ ДЛЯ БАЗЫ (dbconfig) ЭТО ПРОСТО НЕЧТО, ПОТОМУ ЧТО СЛИТЬ БАЗУ НАДО УМЕТЬ, А ЕСЛИ АДМИН НОРМАЛЬНЫЙ ТО ОТ ДАННЫХ dbconfig ТОЛКУ НЕТУ. (достаточно пары строк в нужном месте и слить базу с сайта не возможно) Сообщение отредактировал PaketikPRO - 12.9.2010, 18:50 -------------------- любая работа с DLE - верстка, написание модулей и компонентов и т.п Поблагодарили: (1) M25

WETLER Topic Starter WETLERTopic Starter 12.9.2010, 18:52; Сообщений: 2466 Поблагодарили: 412 раз Репутация: 95 Просмотр профиля	Topic Starter 12.9.2010, 18:52; Ответить: WETLER Сообщение #39
БАН Группа: Banned Сообщений: 2466 Регистрация: 1.4.2009 Поблагодарили: 412 раз Репутация: 95	PaketikPRO, Ахах) Во первых - было сразу понятно, что сайты не Ваши. Действий никаких абсолютно не было, ибо по разговору понятно было - что стукнул школьник. В это время я занимался сайтом Брайна, он отписал об этом выше. Ну а про лог действий - если Вы не знали, то в логе записываются определённые действия и изменения файлов, а SQL инъекции, запросы и подобные даже близко не стоят. Сообщение отредактировал WETLER - 12.9.2010, 19:00 -------------------- БАН - http://www.maultalk.com/topic140665.html

mdobyshev mdobyshev 12.9.2010, 18:52; Сообщений: 958 Поблагодарили: 139 раз Репутация: 25 Просмотр профиля	12.9.2010, 18:52; Ответить: mdobyshev Сообщение #40
Завсегдатай Группа: Active User Сообщений: 958 Регистрация: 2.3.2009 Из: Краматорск Поблагодарили: 139 раз Репутация: 25	Думал на форуме таких разводящих нет P.S. Хотя не буду лезть... Кто его знает кто прав, кто виноват! Сообщение отредактировал mdobyshev - 12.9.2010, 18:53 -------------------- Лучший хостинг для ваших сайтов! Автомобильный сайт

WETLER Topic Starter WETLERTopic Starter 12.9.2010, 18:53; Сообщений: 2466 Поблагодарили: 412 раз Репутация: 95 Просмотр профиля	Topic Starter 12.9.2010, 18:53; Ответить: WETLER Сообщение #41
БАН Группа: Banned Сообщений: 2466 Регистрация: 1.4.2009 Поблагодарили: 412 раз Репутация: 95	(PaketikPRO @ 12.9.2010, 18:48) ДАННЫЙ ДЛЯ БАЗЫ (dbconfig) ЭТО ПРОСТО НЕЧТО, ПОТОМУ ЧТО СЛИТЬ БАЗУ НАДО УМЕТЬ, А ЕСЛИ АДМИН НОРМАЛЬНЫЙ ТО ОТ ДАННЫХ dbconfig ТОЛКУ НЕТУ. (достаточно пары строк в нужном месте и слить базу с сайта не возможно) Очередной бред. Эти данные одни из главных. Через них также можно попасть в phpmyadmin, а оттуда уже всё, что угодно. Не знаете ничего, а лезете... ) -------------------- БАН - http://www.maultalk.com/topic140665.html

« Предыдущая тема · Оффтопик · Следующая тема »

1 чел. читают эту тему (гостей: 1, скрытых пользователей: 0)

Пользователей: 0

Похожие темы

Тема	Ответов	Автор	Просмотров	Последний ответ
DLE xProtect	2	xoopw	5988	15.1.2024, 21:06 автор: Diana_Wesley
Обновить сайт на CMS DLE	1	Sawich	1670	2.9.2023, 10:10 автор: WoWeb
[РЕКОМЕНДУЮ] >>>Тестирование Вашего сайта, сервера на устойчивость и уязвимость!	7	barbaddos	9487	3.7.2023, 20:18 автор: barbaddos
Изготовление красивых сайтов на DLE под ключ \| Доступные цены от 2000 руб.	1	Admiral_ukr	1602	20.11.2022, 10:08 автор: Webmaster24
Ищу спеца по DLE вылечить сайт	4	Reactive	2644	22.10.2022, 9:01 автор: Fozik77