Pokaż wyniki 1 do 10 z 10

Temat: Ukryte linki

  1. #1

    Domyślnie Ukryte linki

    Witam

    Od razu przepraszam, jeśli to zły dział lub jeśli podobny temat już był - użyłem wyszukiwarki - nie znalazłem (może dlatego, że nie umiem za bardzo nazwać tego, o co chcę zapytać).
    Ale do rzeczy - w łopatologiczny sposób, bo aż na tyle pro nie jestem ;P

    Mój problem polega na tym, że chcę pobrać plik z forum, z którego pliki pobierać mogą tylko zalogowani userzy.
    Tu pojawia się przeszkoda uniemożliwiająca mi poradzenie sobie z tym samemu - gdy klikam rejestrację, to pokazuje mi vBulletin message o treści: Registering has been blocked by administrator. (czy jakoś podobnie).
    Na bugmenot.com nie ma do tego forum działających danych logowania. A pliku nie ma nigdzie indziej w sieci (szukałem 4 dni).

    I tu pojawia się moje pytanie - czy jest możliwość podejrzeć linki do danego pliku?
    Chodzi mi o to, co jest "pod" tym: [Only registered and activated users can see links. Please click here to register.].
    Nie chciałbym, rzecz jasna, od razu "rozorać" pół systemu tego forum. Dokładnie chodzi mi o to forum:
    Security Site Forum - Built by Reputation
    Dzięki za odpowiedzi (tylko żeby były sensowne, a nie jakieś "niemożliwe", "zły dział", "nierozumiem", "ja nie umiem"). Takie z krótkim uzasadnieniem... Dzięki

  2. #2

    Domyślnie

    Próba trywalnych haseł względem każego użytkownika forum.
    Z doświadczenia wiem, że statystycznie co 100-200 user ma hasło typu "qwerty" czy "123456"
    światło mądrości oświetla drogę z nikąd do nikąd

  3. #3

    Domyślnie

    Ok. To też jakieś wyjście. Jeśli jednak ma ktoś jeszcze jakieś idee to ja chętnie Dzięki

  4. #4
    Zarejestrowany
    Jul 2007
    Skąd
    C:\Perl\bin
    Postów
    1,578

    Domyślnie

    ale to wyjscie przeciez wystarczy, napisz bota ktory pobierze wszystkie nazwy userow i bedzie probowal zalogowac sie do kazdego z haslem qwerty...
    War, war never changes.

  5. #5

    Domyślnie

    Ja osobiście nie używam takich haseł więc jeśli to nie zadziała to polecam włamać się do bady danych forum ; ]
    Albo spróbuj metody SQL Injection xD

  6. #6

    Domyślnie

    Pomysł z botem - niby niezły - ale jest jedna, drobna przeszkoda - można się 5 razy pomylić przy logowaniu a potem co 15 minut dostaje się kolejną próbę... SQL Injection... hmmm... Chyba jednak dam sobie spokój i co jakiś czas spróbuję się na kogoś zalogować hasłem qwerty albo 12345... Narazie wysłałem feedback do modera z zapytaniem dlaczego została rejestracja zablokowana, kiedy i czy w ogóle będzie ponownie możliwa.

    No chyba że limit prób logowania botowi nie przeszkadza - ale wątpię...

    Pogrzebałem trochę po tym forum i...

    Wygląda na to, że ten, kto chce być jego użytkownikiem ma się po prostu włamać - jeśli dobrze wszystko zrozumiałem:

    Klik

    SQL Injection nie działa (albo ja nie umiem tego zrobić należycie). Zresztą - forum nazywające się "security site" raczej nie będzie słabo zabezpieczone i dziurawe.

    Jest ktoś odważny, by służyć radą?


    PS. Może w dziedzinie systemów mam wiedzę dużo większą niż z 70% internautów, ale żadnym hakerem nie jestem. Więc prosiłbym o "łopatologiczne" wyłożenie pewnych faktów Dzięki
    Ostatnio edytowane przez Mad_Dud : 05-19-2011 - 22:28

  7. #7

    Domyślnie

    było mówić że VB..

    Kod php:
    function verify_strike_status($username ''$supress_error false)
    {
        global 
    $vbulletin;

        
    $vbulletin->db->query_write("DELETE FROM " TABLE_PREFIX "strikes WHERE striketime < " . (TIMENOW 3600));

        if (!
    $vbulletin->options['usestrikesystem'])
        {
            return 
    0;
        }

        
    $strikes $vbulletin->db->query_first("
            SELECT COUNT(*) AS strikes, MAX(striketime) AS lasttime
            FROM " 
    TABLE_PREFIX "strikes
            WHERE strikeip = '" 
    $vbulletin->db->escape_string(IPADDRESS) . "'
        "
    );

        if (
    $strikes['strikes'] >= AND $strikes['lasttime'] > TIMENOW 900)
        { 
    //they've got it wrong 5 times or greater for any username at the moment

            // the user is still not giving up so lets keep increasing this marker
            
    exec_strike_user($username);

            if (!
    $supress_error)
            {
                eval(
    standard_error(fetch_error('strikes'$vbulletin->options['bburl'], $vbulletin->session->vars['sessionurl'])));
            }
            else
            {
                return 
    false;
            }
        }
        else if (
    $strikes['strikes'] > 5)
        { 
    // a bit sneaky but at least it makes the error message look right
            
    $strikes['strikes'] = 5;
        }

        return 
    $strikes['strikes'];

    Musisz to obejść, tylko proxy.
    światło mądrości oświetla drogę z nikąd do nikąd

  8. #8

    Domyślnie

    Dzięki - na najprostsze rozwiązania najtrudniej wpaść - jednakże - żmudne i czasochłonne jest wpisywanie kolejnych loginów i hasła "qwerty" a po pięciu próbach - zmiana prox. Istnieje możliwość napisania skryptu, który sam będzie zmieniał proxy i logował się na losowe loginy hasłami typu "qwerty", "12345" i "abcd" ? I gdzie mógłbym uzyskać wiedzę, którą wykorzystam przy programowaniu (fajnie byłoby dostać "gotowca" - ale cudów nie ma - poza tym to ciekawe zadanie i satysfakcja, jak zadziała)?

  9. #9

    Domyślnie

    rozbij skarbonkę, napisz na pw, na pewno sie dogadamy :-]
    światło mądrości oświetla drogę z nikąd do nikąd

  10. #10

    Domyślnie

    Po dwóch godzinach wreszcie trafiłem jelenia z hasłem "qwerty"...
    Pobrałem co chciałem i się grzecznie wylogowałem...
    Dzięki wszystkim za pomoc...

Tagi

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj