Pokaż wyniki 1 do 10 z 10

Temat: Ukryte linki

  1. #1
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie Ukryte linki

    Witam

    Od razu przepraszam, jeśli to zły dział lub jeśli podobny temat już był - użyłem wyszukiwarki - nie znalazłem (może dlatego, że nie umiem za bardzo nazwać tego, o co chcę zapytać).
    Ale do rzeczy - w łopatologiczny sposób, bo aż na tyle pro nie jestem ;P

    Mój problem polega na tym, że chcę pobrać plik z forum, z którego pliki pobierać mogą tylko zalogowani userzy.
    Tu pojawia się przeszkoda uniemożliwiająca mi poradzenie sobie z tym samemu - gdy klikam rejestrację, to pokazuje mi vBulletin message o treści: Registering has been blocked by administrator. (czy jakoś podobnie).
    Na bugmenot.com nie ma do tego forum działających danych logowania. A pliku nie ma nigdzie indziej w sieci (szukałem 4 dni).

    I tu pojawia się moje pytanie - czy jest możliwość podejrzeć linki do danego pliku?
    Chodzi mi o to, co jest "pod" tym: [Only registered and activated users can see links. Please click here to register.].
    Nie chciałbym, rzecz jasna, od razu "rozorać" pół systemu tego forum. Dokładnie chodzi mi o to forum:
    Security Site Forum - Built by Reputation
    Dzięki za odpowiedzi (tylko żeby były sensowne, a nie jakieś "niemożliwe", "zły dział", "nierozumiem", "ja nie umiem"). Takie z krótkim uzasadnieniem... Dzięki

  2. #2
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    Próba trywalnych haseł względem każego użytkownika forum.
    Z doświadczenia wiem, że statystycznie co 100-200 user ma hasło typu "qwerty" czy "123456"
    światło mądrości oświetla drogę z nikąd do nikąd

  3. #3
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Ok. To też jakieś wyjście. Jeśli jednak ma ktoś jeszcze jakieś idee to ja chętnie Dzięki

  4. #4
    Avatar GSG-9
    GSG-9 jest offline Shapeshifter
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    ale to wyjscie przeciez wystarczy, napisz bota ktory pobierze wszystkie nazwy userow i bedzie probowal zalogowac sie do kazdego z haslem qwerty...
    War, war never changes.

  5. #5
    Avatar marvix
    marvix jest offline Newbie
    Zarejestrowany
    Feb 2011
    Postów
    43

    Domyślnie

    Ja osobiście nie używam takich haseł więc jeśli to nie zadziała to polecam włamać się do bady danych forum ; ]
    Albo spróbuj metody SQL Injection xD

  6. #6
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Pomysł z botem - niby niezły - ale jest jedna, drobna przeszkoda - można się 5 razy pomylić przy logowaniu a potem co 15 minut dostaje się kolejną próbę... SQL Injection... hmmm... Chyba jednak dam sobie spokój i co jakiś czas spróbuję się na kogoś zalogować hasłem qwerty albo 12345... Narazie wysłałem feedback do modera z zapytaniem dlaczego została rejestracja zablokowana, kiedy i czy w ogóle będzie ponownie możliwa.

    No chyba że limit prób logowania botowi nie przeszkadza - ale wątpię...

    Pogrzebałem trochę po tym forum i...

    Wygląda na to, że ten, kto chce być jego użytkownikiem ma się po prostu włamać - jeśli dobrze wszystko zrozumiałem:

    Klik

    SQL Injection nie działa (albo ja nie umiem tego zrobić należycie). Zresztą - forum nazywające się "security site" raczej nie będzie słabo zabezpieczone i dziurawe.

    Jest ktoś odważny, by służyć radą?


    PS. Może w dziedzinie systemów mam wiedzę dużo większą niż z 70% internautów, ale żadnym hakerem nie jestem. Więc prosiłbym o "łopatologiczne" wyłożenie pewnych faktów Dzięki
    Ostatnio edytowane przez Mad_Dud : 05-19-2011 - 22:28

  7. #7
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    było mówić że VB..

    Kod php:
    function verify_strike_status($username ''$supress_error false)
    {
        global 
    $vbulletin;

        
    $vbulletin->db->query_write("DELETE FROM " TABLE_PREFIX "strikes WHERE striketime < " . (TIMENOW 3600));

        if (!
    $vbulletin->options['usestrikesystem'])
        {
            return 
    0;
        }

        
    $strikes $vbulletin->db->query_first("
            SELECT COUNT(*) AS strikes, MAX(striketime) AS lasttime
            FROM " 
    TABLE_PREFIX "strikes
            WHERE strikeip = '" 
    $vbulletin->db->escape_string(IPADDRESS) . "'
        "
    );

        if (
    $strikes['strikes'] >= AND $strikes['lasttime'] > TIMENOW 900)
        { 
    //they've got it wrong 5 times or greater for any username at the moment

            // the user is still not giving up so lets keep increasing this marker
            
    exec_strike_user($username);

            if (!
    $supress_error)
            {
                eval(
    standard_error(fetch_error('strikes'$vbulletin->options['bburl'], $vbulletin->session->vars['sessionurl'])));
            }
            else
            {
                return 
    false;
            }
        }
        else if (
    $strikes['strikes'] > 5)
        { 
    // a bit sneaky but at least it makes the error message look right
            
    $strikes['strikes'] = 5;
        }

        return 
    $strikes['strikes'];

    Musisz to obejść, tylko proxy.
    światło mądrości oświetla drogę z nikąd do nikąd

  8. #8
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Dzięki - na najprostsze rozwiązania najtrudniej wpaść - jednakże - żmudne i czasochłonne jest wpisywanie kolejnych loginów i hasła "qwerty" a po pięciu próbach - zmiana prox. Istnieje możliwość napisania skryptu, który sam będzie zmieniał proxy i logował się na losowe loginy hasłami typu "qwerty", "12345" i "abcd" ? I gdzie mógłbym uzyskać wiedzę, którą wykorzystam przy programowaniu (fajnie byłoby dostać "gotowca" - ale cudów nie ma - poza tym to ciekawe zadanie i satysfakcja, jak zadziała)?

  9. #9
    Zarejestrowany
    Nov 2009
    Postów
    643

    Domyślnie

    rozbij skarbonkę, napisz na pw, na pewno sie dogadamy :-]
    światło mądrości oświetla drogę z nikąd do nikąd

  10. #10
    Zarejestrowany
    May 2011
    Postów
    5

    Domyślnie

    Po dwóch godzinach wreszcie trafiłem jelenia z hasłem "qwerty"...
    Pobrałem co chciałem i się grzecznie wylogowałem...
    Dzięki wszystkim za pomoc...

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj