English | Vietnamese
 

banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register   [Login] Loginhttp  | https  ]
 
Forum Index Thông tin new bugs và exploits BigDump File Upload Exploit  XML
  [Announcement]   BigDump File Upload Exploit 10/10/2007 07:01:57 (+0700) | #1 | 89788
BigballVN
Elite Member
[Minus]    0    [Plus]
Joined: 12/06/2005 07:25:21
Messages: 610
Offline
[Profile] [PM]
Chắc bác nào làm Web có DB cũng biết BigDump nhỉ? Nó cho phép mình Import cái DB vào nhanh hơn. Đơn giản hơn. Nhưng cũng có một cái nguy hiểm đó là cho Upload file *.sql nếu như folder chứa BigDump được CHMOD là 777.
Có 2 cách chơi thằng này:
1. Upload file SQL chứa User và pass của mình theo cấu trúc mà nó đang xài => Update pass => Login vào ACP (dành cho thằng nào xài Forum)
2. Upload Review dạng *.php.sql => Run trực tiếp luôn => cách này hay hơn chút vì có thể khai thác thêm nhiều thứ từ DB của nó.
Còn cách Dork BigDump thì các bác tự tìm hiểu. Chút là ra à.
================================
Lần đầu tiên viết trong box Bugs Hunting mong các bác thông cảm. Vả lại em không biết cái này có ai phát hiện ra chưa. Tại lúc trước có xài BigDump nên tìm ra. Tìm ra cũng lâu rồi nhưng Private để chơi giờ post lên. smilie)
[Up] [Print Copy]
  [Question]   Re: BigDump File Upload Exploit 10/10/2007 12:05:53 (+0700) | #2 | 89844
hack2prison
Member
[Minus]    0    [Plus]
Joined: 10/02/2004 10:43:43
Messages: 58
Offline
[Profile] [PM]
Cái này không phải là bug mà là sơ xuất của admin, lẽ ra phải delete thì lại không delete.
Security bug là một lỗi có thể nguy hiểm đến ứng dụng/hệ thống mà khi thiết kế coder không lường trước được
Với cái bigdump thì ý đồ của coder này là dùng để upload file lên server và restore nó và nó thực hiện đúng ý đồ này, không phát sinh sự nguy hiểm nào. Lỗi là do sự sơ xuất hoặc thiếu hiểu biết của người sử dụng.
Việc chạy được file .php.sql là do lỗi server không liên quan gì đến bigdump. smilie
[Up] [Print Copy]
  [Question]   Re: BigDump File Upload Exploit 10/10/2007 20:13:07 (+0700) | #3 | 89869
BigballVN
Elite Member
[Minus]    0    [Plus]
Joined: 12/06/2005 07:25:21
Messages: 610
Offline
[Profile] [PM]
Cái này post lên cho vui thôi. Có lẽ đây là sơ suất của người dùng. Cảm ơn bác đã ý kiến. smilie)
[Up] [Print Copy]
  [Question]   Re: BigDump File Upload Exploit 19/10/2007 23:05:34 (+0700) | #4 | 91632
qmlthvn
Member
[Minus]    0    [Plus]
Joined: 09/04/2006 06:37:48
Messages: 12
Offline
[Profile] [PM]
hình như bên VBF có cái chủ đề như thế này rồi thì phải
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|