Уязвимость в SMF 1.1.4.

Serifa · 20 апреля 2008, 16:29:04

офф-топ: нерадостная какая-то тема, камрады!

maratix.ru · 03 мая 2008, 19:40:41

Цитата: leksus от 01 апреля 2008, 11:47:03
Сейчас у большинства хостеров глобалсы выключены, только если кто специально включил (и если хостер разрешает менять этот параметр, что, кстати, не есть хорошо.)

Vened, создаешь в корне файл phpinfo.php с содержимым:
Код Выделить Развернуть
<? phpinfo(); ?>
Запускаешь в браузере, ищешь строчку "register_globals"

Извините, объясните, еще раз как зайти и куда (что такое корень?)

Tair · 03 мая 2008, 20:16:14

Цитата: maratix.ru от 03 мая 2008, 19:40:41
Извините, объясните, еще раз как зайти и куда (что такое корень?)

корень - верхний каталог сайта:
например:
www.lalala.ru/index.html
index.html находится в корне

а
www.lalala.ru/one/index.hmtl
уже как видно не в корне.

Создать нужно файл phpinfo.php
с содержимым:
<?phpinfo();?>

И открыть в браузере:
http://www.вашсайт.ru/phpinfo.php

И в появившемся списке найти строчку register_globals
Там скорее всего будет 2 столбика.
Смотрим Local Value - если off то хорошо, если on то делаем файл .htaccess по инструкции которая где-то здесь была.

maratix.ru · 04 мая 2008, 19:10:16

Цитата: Rainheart от 03 мая 2008, 20:16:14
корень - верхний каталог сайта:
например:
www.lalala.ru/index.html
index.html находится в корне

а
www.lalala.ru/one/index.hmtl
уже как видно не в корне.

Создать нужно файл phpinfo.php
с содержимым:
<?phpinfo();?>

И открыть в браузере:
http://www.вашсайт.ru/phpinfo.php

Пишет: невозможно отобразить страницу

Tair · 04 мая 2008, 22:26:29

Цитата: maratix.ru от 04 мая 2008, 19:10:16
Пишет: невозможно отобразить страницу

Значит что-то неправильно сделали.

savirmir · 05 мая 2008, 17:27:51

Столкнулся с проблемой: форум не хочет сохранять файл как вложение, если его размер немногим более 2 Мб (скажем так, от 2 до 3 Мб)...

ЦитироватьВаше вложение не может быть сохранено. Возможно файл больше, чем позволяет сервер.

В админке, на страничке "Вложения и аватары" вроде всё включено нормально...
Есть ли предельные ограничения на размер вложений и не связана ли эта проблема с дополнительной защитой, описанной выше в этом топике? Хм... а может я туплю и что-то не включил?
Поможите, люди добрые!

Mavn · 05 мая 2008, 18:32:22

проблема обсуждалась 100 раз и тем более никакого отношения к текущей теме не имеет!
смотрите параметры php там прописываются максимально возможный размер загружаемых файлов.

savirmir · 06 мая 2008, 04:31:06

Цитата: Mavn от 05 мая 2008, 18:32:22
проблема обсуждалась 100 раз и тем более никакого отношения к текущей теме не имеет!
смотрите параметры php там прописываются максимально возможный размер загружаемых файлов.

Разобрался! Спасибо огромное!
Просто раньше с этим вопросом как-то не сталкивался...
Проблема оказалась в настройках PHP у хостера...
Сейчас провожу с ним разъяснительную работу...

Может следует удалить это и два предыдущих сообщения? А то вроде действительно, флуд получается...

Kykapa4a · 29 мая 2008, 12:21:30

maratix.ru Возможно ты просто создал phpinfo.php.txt хотя я могу ошибатся, но у многих юзверей отключен апплет
"показывать расширения для зарегестрированных типов файлов"

kas · 16 июня 2008, 17:52:47

Эксплоиты для 1.1.4 системы написаные на Питоне

http://slil.ru/25900997 - 1_1_4.py
http://slil.ru/25901005 - 1_1_4.py.zip

(http://www.securitylab.ru/poc/extra/354854.php)

Mavn · 16 июня 2008, 19:10:47

Хех 99% эксплоитов не рабочие точнее сказать с небольшими правками так сказать защита от скрипткидисов

. Так что даже не стоит обращать внимание на данные эксплоиты если ты не знаток в этом деле

!

kas · 16 июня 2008, 22:02:51

http://slil.ru/25901870 - это уже "исправленый" сплоит

http://forum.antichat.ru/showpost.php?p=732887&postcount=10

digger® · 16 июня 2008, 22:28:36

Цитата: kas от 16 июня 2008, 22:02:51
http://slil.ru/25901870 - это уже "исправленый" сплоит

http://forum.antichat.ru/showpost.php?p=732887&postcount=10

Только сначала нужно жертву попросить включить register_globals.