Ну, добро пожаловать и добрый день, г-н XaoS! Вижу, много трудились, оповещая Интернет о новой уязвимости ExBB. А я в свою очередь хочу спросить как результаты использования дыры на этом форуме?
P.S. А вы ещё и с чувством юмора (я имею ввиду ts-board)

Чуть не забыл про ваш форум - письмо с паролем долго очень шло.

Куча ограничений на файлах.
На админке еще один пароль.
Jino-net я решительно не уважаю за ее параноидальность.

Есть такое.

Что правда то правда - Jino и Jino-Net те ещё параноики. Но эта параноидальность и спасла однажды форум от тульских "кулхацкеров".

Это о каком ограничении вы говорите, что-то не пойму..
А что реально через эту дыру узнать пароли?

Вообще-то нет. Просто на ts-board глюк какой-то, и скрипт срабатывал на правильный пароль как на неправильный - и заносил его в лог.
А чаще всего этот лог совсем отключают, и тогда можно получить только md5 хеш. Или изменить пароль.


safe mode включен. Uid 505 еще какой-то...


В админку так и не пробился. Удалите потом файлы shell.php и a1.php.

неужели мой .htaccess`ик помог?

Наверное.
Его, вроде, только через ftp можно скачать/загрузить. Через php не получилось.

XaoS, слушай, это значит, что заплатка на tvoyweb`e не работает? Ведь перед тем, как тебе написать, я её поставил.. Хм..

Заплатка работает.
Просто ExBB уж очень дырявый.
С этой новой уязвимостью разберусь и отпишусь куда-нибудь.

XaoS
Ты ссылку получил? А то у меня полетел users.php - не мог влезть.

Да... После таких наглядных материалов я решил, что нафик этот ExBB на платном хосте....
p.s. a1.php- это новоявленная админка?

Ссылку получил.



На платном можно и vBulletin поставить.
А мне ExBB за простоту нравится. Дописывать и моддить его проще. Ибо стандартно настроеный форум - достаточно грустное зрелище.
\n\n(Добавление)

a1.php - копия админки, только запустить ее все равно не получилось.