هک مامبو!

**aghamahdi** · 10-01-2007 07:47 AM

عنوان تاپیک شاید یه کم تند باشه!اما خوب سوال من جنبه آموزشی داره! :

من با sql injection به هش پسوورد ادمین دسترسی پیدا کردم و تونستم وارد پنل مدیر سایت بشم.
من می خوام روی سرور یه cmd.php نصب کنم.
چند تا راه داشتم:
برای سرور های در پیت! اسم فایل رو به اکستنشن jpg تغیر دارم و بعدش هم با یه علامت سوال اجرا می شه.
اگر آپلود سنتر چیی نصب باشه ازش استفاده می کنم.
راه دیگه ای هم هست؟

**تبلیغات** · 10-01-2007 07:47 AM

**firoozmandan** · 10-01-2007 08:16 AM

سلام

متاسفانه از دادن این اطلاعات معذوریم .
البته بهتر بود ذکر میکردید شما این کار رو از طریق Core انجام ندادید و مامبو SQL Injection نداره و این کار رو با مشکلی که در کامپوننت Remository ورژنهای قبل موجود بود انجام دادید

یا علی

**aghamahdi** · 10-01-2007 09:04 AM

هسته مامبو عشق منه!
تقریبا نفود ناپذیره!

[مهمان/کاربر گرامی برای دیدن لینک ها ابتدا باید عضو سایت شوید و لاگین کنید برای ثبت نام اینجا کلیک کنید]

اون باگ دیگه اکثرا پچ شده.
الان خیلی از سای ها که از com_mambads استفاده می کنند این مشکل رو دارند

متاسفانه از دادن این اطلاعات معذوریم .

راستش دلیلش رو نمی دونم چیه.(که البته 100 % هم محترمه)
اما گفتن ای نمسایل توی فروم صرفا باعث می شه که دوستان یه کم حواسشونرو بیشتر جمع کنند.
من مطمینا جوابم رو پیدا می کنم(حالا یه کم دیر تر!)

اما بحث در این باره باعث می شه امنیت سایت های فارسی زبان بالا بره

**firoozmandan** · 10-01-2007 09:48 AM

سلام

حرف شما کاملا درسته .

اما متاسفانه بعضی ها از این اطلاعات ممکنه سوءاستفاده کنند .

ما همیشه سعیمون بر این بوده سایت کابران رو به سمت امنیت بیشتر سوق بدیم و به اونها اطلاعات در این زمینه بدیم که زحماتشون به باد نره ....

در هر صورت ممنون از شما ...

یا علی

**aghamahdi** · 10-01-2007 02:01 PM

اما متاسفانه بعضی ها از این اطلاعات ممکنه سوءاستفاده کنند .

راستش من همین بحث رو توی یه فروم فارسی شبکه هم کردم که بی نتیجه موند
خوب مگه کار هکر چیزی غیر از سو استفاده هست؟
اگر هیچ دزدی وجود نداشت هیچ گاوصندوق محکمی هم به وجود نمی اومد
توی تمام فروم های غیر ایرانی این بحث ها در جریانه.
نتیجه بحث نکردن به زیان فارسی اینه که فقط فارسی زبان ها از این حرکت عقب می مونند.
من یه سوال دارم:
یک سایت یا امن هست یا نیست!(چشم بسته گفتم!)
اگر امن باشه که هر کس هر چقدر هم سعی کنه از اطلاعات اینجا نمی تونه سو استفاده کنه(چون سایت امنه!)
اگر هم امن نباشه مطمینا توسط هکر های خارجی هک می شه!(و چه بسا اگر توی این انجمن در مورد شیوه های هک کردن مامبو بحث بشه دوستان به فکر امن کردن سایتشون می افتند و از یک اپلیکیشن همین جوری استفاده نمی کنند.یاد می گیرند توی سایت های امنتی بگردند...ببینیند واقعا این نرم افزار امن هست یا نه)

در مورد همون افرادی هم که به قول شما سو استفاده گر هستند باید عرض کنم که همین افراد سو استفاده کننده هستند که باعث بالا رفتن امنیت سایت ها هستند.

امید وارم راهی باز شه تا در مورد امنیت مامبو بهتر بحث کنیم

**hossein.shokrzadeh** · 10-01-2007 03:37 PM

سلام
عذر ميخام پا برهنه ميپرم وسط...
مثال شما شبيه اينه: ما دزدي كردن رو در مجامع عمومي ياد بديم! كه ملت ياد بگيرند دزدگير خوبي نصب كنند!
نه به نظر من اين درست نيست، بايد جاي خاصي باشه براي مباحث خاص! كه شما مطمئن باشي از مطالبت سوء استفاده نميكنند
و الا وزر و وبالش برات ميمونه

ممنون
يا علي

**aghamahdi** · 10-01-2007 03:42 PM

دزدی !!!!
یعنی همه هکر ها دزد هستند؟ :-\
من که هکر نیستم!اما هکر های زیادی رو میشناسم که حتی بعد از دسترسی یک سرور با یک ایمیل ادمین سرور رو از مشکل امنیتی با خبر می کنند
مثال دزدی جالب بود.
من به همه دوستانم می گم اگر در ماشینت رو قفل نزنی....اگر دزد گیر نداشته باشی....یا اگر از این دزد گیر استفاده کنی ماشینت رو دزد می بره!
به نظر شما این نصیحت در زیاد شدن دزدی نقش داره یا....

**firoozmandan** · 10-03-2007 08:18 AM

حرف شما به هیچ عنوان صحیح نیست .

شما میگید که باید روش های هک در اینجا قرار بگیره که ملت به فکر راه حل اون بیوفتند !!!

اما میشه از همون ابتدا به ملت ! گفت که اگر فلان کد رو بذارید توی htaccess باعث میشه که خیلی از exploit ها کار نکنن .
اگر از فلان برنامه استفاده کنید هک میشید .
اگر Setting Server به این صورت باشه احتمال هم خیلی کمتر میشه
اگر ...

میشه به کاربران اطلاعات مثبت داد نه .. !

لطفا این بحث رو ادامه ندید چرا که اینجا یک انجمن هک و اکسپلوییت نویسی نیست ! و ما هم تمایلی نداریم که در این موارد صحبتی کنیم .

هدف ما همیشه این بوده که از اطلاعات و زحمات کاربران به بهترین نحو و با دادن اطلاعات درست و کاربردی حفاظت کنیم .

یا علی

**farhadgreat** · 10-12-2007 08:23 PM

آقا نمی دونم چرا اینقدر کامپوننت های درهپیت زیاد شدند همشونم باگ دارند
یه نمونش همینجاست

کد:

http://www.mambolearn.com/forum/index.php?option=com_smf&amp;Itemid=33&amp;action=helpadmin%3bhelp=THIS%2520SITE%2520HaCKED%2520BY%2520mafia_scripts%2520@%2520YAHOOO.com

**sorry4uboth** · 10-12-2007 11:34 PM

خیر دوست عزیز!
خودتون هم میدونید اطلاعات چندانی در این زمینه ندارید و مباحثی که مطرح میکنید از سر دلسوزی و .. نیست

اما شما اگه عبارت option=com_smf&Itemid=33 رو هم بردارید باز هم این باگ هست!
اصلا هم ربطی به مامبو نداره و باگ SMF هست که گزارش داده شده و در نسخ بعدی حل میشه!
ضمن اینکه اون متن آخر رو هم هر کسی میتونه عوض کنه و ...
پس بگیم همه جا هک شده و ...

جالبش اینه که شما مینویسید کامپوننت و ربطش میدید به مامبو!!!!! در صورتی که هیچ ربطی به مامبو نداره!
پیشنهاد میکنم یه مقداری خودتون رو تهذیب اخلاق کنید + یه کمی هم اطلاعات بدست بیارید

از نظر هیچ آدم عاقلی به این هک نمیگند! اما شما اگه دلتون با این حرفها خوشه و میخواید عنوان یه هکر رو یدک بکشید به همین هک ها ادامه بدید شاید یه نفر بهتون بگه ایول!!!!

موفق باشید!!!!