logo

NPDS : Gestion de contenu et de communauté

Content & Community Management System (CCMS) robuste, sécurisé, complet, performant, parlant vraiment français, libre (Open-Source) et gratuit.
38 visiteur(s) et 0 membre(s) en ligne.
Plus de contenu
Autres infos
Anciens articles
Activité du Site

Pages vues depuis 25/05/2001 : 108 401 466

  • Nb. de membres 8 693
  • Nb. d'articles 1 695
  • Nb. de forums 26
  • Nb. de sujets 8
  • Nb. de critiques 92

Top 10  Statistiques

Mémoire d'outre Web

Index du forum »»  Sécurité »» Hack NPDS

Nouveau sujet
 Hack NPDS#24966Répondre

9Contributeur(s)
aidadomicillroblettedeveloppeurShineyjpbPhilGuencolonelwogAnonymeJireck
3 Modérateur(s)
developpeurjpbJireck
aidadomicil aidadomicilicon_post
vu aujourd'hui à chaque chargement de page :

05/11/2010 14:00
Répondre
lroblette lrobletteicon_post
Même constat pour moi
05/11/2010 15:05
Répondre
developpeur developpeuricon_post
Oui idem / en fait le fichier config.php a été modifier

Je cherche comment
05/11/2010 15:07
Répondre
developpeur developpeuricon_post
Si le hacker voulais bien me contacter developpeur@npds.org

05/11/2010 15:11
Répondre
Shiney Shineyicon_post
Il est toujours possible d'accéder à la parti admin. Ce site est sous REvolution donc je ne vois pas pourquoi vous écrivez: "Evolution et REvolution ne sont pas concernées". De plus, je n'exploite pas une faille dans le module File-Manager puisque mon exploit est toujours valable malgré la désactivation du module.
PS: ca sert à rien de désactiver le gestionnaire de fichier si on peut toujours éditer les fichiers de configuration ;-)
05/11/2010 16:16
Répondre
developpeur developpeuricon_post
Non ce site n'est pas sous REvolution / ni sous Evolution

Je cherche a comprendre comme vous fait / donc j'émets des hypothèses qui peuvent être fausse.

Sommes nous d'accord sur le fait que vous passez par admin.php ?.
05/11/2010 16:35
Répondre
Shiney Shineyicon_post
pour accéder à la parti admin, oui. Mais la faille que j'exploite ne concerne pas admin.php

Message édité par : Shiney / 05-11-2010 16:41

05/11/2010 16:41
Répondre
developpeur developpeuricon_post
Le bloc-notes
05/11/2010 16:42
Répondre
Shiney Shineyicon_post
nop
05/11/2010 16:48
Répondre
developpeur developpeuricon_post
j'étais en train d'effacer le post du bloc-note effectivement / pas la bonne piste

05/11/2010 16:49
Répondre
Shiney Shineyicon_post
si ca peut t'aider je passe par une blind injection
05/11/2010 16:54
Répondre
developpeur developpeuricon_post
L'adresse email de l'utilisateur shiney est bonne ?
Je peut vous envoyer un mail ?
05/11/2010 16:59
Répondre
Shiney Shineyicon_post
oui vous pouvez mais ne vous attendez pas à ce que je vous donne la réponse toute crue ;)
05/11/2010 17:00
Répondre
developpeur developpeuricon_post
Je m'en doute
05/11/2010 17:05
Répondre
jpb jpbicon_post
et si on interdit substring dans une url tu exploite toujours ?
05/11/2010 17:06
Répondre
Shiney Shineyicon_post
oui toujours exploitable. Avez vous un exemple de site sous REvolution et Evolution? que je voyes si ils sont faillibles aussi :)
05/11/2010 17:14
Répondre
Shiney Shineyicon_post
oui toujours exploitable. Avez vous un exemple de site sous REvolution et Evolution? que je voyes si ils sont faillibles aussi :)
05/11/2010 17:16
Répondre
developpeur developpeuricon_post
J'aurais une tendance à penser que c'est dans user.php
05/11/2010 17:18
Répondre
developpeur developpeuricon_post
modules.npds.org
05/11/2010 17:18
Répondre
Shiney Shineyicon_post
ahah vous avez dû voir ca dans vos logs. Oui c'est mon point d'entré mais je pense que je peux aussi le faire sur certaines autre page. modules.npds.org est aussi faillible :)

Message édité par : Shiney / 05-11-2010 17:29

05/11/2010 17:28
Répondre