Salut à tous, je vais vous montrer comment hacker un forum utilisant phpBB2.0.12 ou inférieur, en exploitant une faille. Cette faille permet d’ajouter les privilèges « Administrateur » à n’importe quel membre du forum. Donc, Pour ce faire nous allons utiliser un script écrit en Perl.
1) Préparation des outils
Pour cette jolie recette, il vous faudra :
Un forum tournant sous phpBB2.0.12 ou inférieur: Google est votre ami !
Avoir votre compte sur le forum victime
Perl installé sur votre machine: Sur Ubuntu, Perl est installé par défaut, sinon, installez le paquet « perl ». Pour Windows, téléchargez-le, puis installez.
Et le script écrit en Perl: Cliquez ici pour le télécharger
Maintenant que nous avons les outils nécessaires, nous allons commencer le massacre l’exploit !
2) Exploitation de la faille
Tous d’abord, naviguez en Console jusqu’au dossier où se trouve le script.
Ensuite, vous devez donner les droits nécessaires au fichier pour pouvoir l’exécuter (sous Linux uniquement)
chmod +x nenu.pl
nenu.pl [site] [dossier_phpbb] [user] [proxy]
site: Vous mettez l’adresse du site, SANS le « http:// ». exemple: www.site.com
Dossier_phpbb: Mettez le dossier dans lequel est installé phpbb, et « / » s’il est à la racine. Exemple: /forum/ ou /phpbb2/
User: Le nom d’utilisateur avec lequel vous vous êtes inscrit, il aura les privilèges administrateur (pas la peine de donner un exemple, je crois :razz: )
Proxy: Facultatif, pour ne pas vous faire prendre. Exemple: 127.0.0.1:3128
Modèle de Sortie
Si vous avez quelque chose de semblable, c’est que vous avez réussi !
Code:
Trying to connect to http://www.site.com/phpBB2/ Forum is vulnerable!!! +++++++++++++++++++++++++++++ Trying to get the user: Ly3s ID... Done... ID=15 ++++++++++++++++++++++++++++++ Trying to give user:Ly3s admin status... Well done!!! Ly3s should now have an admin status.. ++++++++++++++++++++++++++++
Tout simplement en mettant à jour votre forum avec la dernière version de phpBB.
NOTE IMPORTANTE: Soyez gentils, ne détruisez pas un dure travail avec ça, je compte sur vous, amis Geeks !
Pour des questions, les commentaires sont ouverts
Source:http://www.geeknoise.com
Commentaire