|
Título: SMF 1.1.6 Filter Post Bypass Publicado por: WHK en 4 Octubre 2008, 10:15 am Bueno en realidad esto lo pude descubrir o redescubrir pero hasta ahora nadie lo ha posteado en ningún lado, se trata sobre un sistema de foros llamado Simple Machines Forum donde puedes administrar el tipo de contenido que puede tener el foro, por ejemplo puedes evitar entre comillas que alguier escriba la palabra "fuck" o "n00b", etc pero es muy facil de sobrepasar tal sistema de seguridad:
Código: fu[b][/b]ck you! El problema está en que SMF no verifica si algún BBCode es núlo insertando divisiones de estilos en el post y en algunos casos sin ser cerrados causando un pequeño deface en la página evitando filtros de spam y control de palabras. En algunos casos sitios webs donde debes registrarte para ver los links puedes utilizar esta técnica para bypasear su MOD que impide su visualización interrumpiendo los carácteres "http://" Aquí una demostración: (http://www.jccharry.com/archivos_publicos/smf_filter_post_bypass.png) Fuente: http://www.jccharry.com/blog/2008/10/04/whk_smf-116-filter-post-bypass.html http://milw0rm.com/exploits/6665 Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Eazy en 4 Octubre 2008, 10:19 am Buenisimo WHK, siempre descubriendo cosas nuevas vos ;)
Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: sirdarckcat en 4 Octubre 2008, 23:32 pm jaja eso se usa desde hace años aqui :P de hecho en el post de recopilación de vulns de xss lo tuve q usar porq era la unica forma de poner code,/code.
Al rato descubriras que un moderador de un subforo puede poner chinchetas en subforos donde no es moderador xD Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Castiblanco en 4 Octubre 2008, 23:53 pm Y eso esta para que lo utilize el que sepa sdc o es que muy dificil tapar ese fallo, lo voy a utilizar algun dia...
Saludos... Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: WHK en 5 Octubre 2008, 17:12 pm Citar Y eso esta para que lo utilize el que sepa sdc o es que muy dificil tapar ese fallo, lo voy a utilizar algun dia... Así parece ser, un usuario hero de simple machines respondió que era tan dificil de resolver que simplemente no será reparado :P Citar This is a known 'bug' however it isn't something we're going to fix. The reason for this is that checking for every single way of getting around the filter would take a lot of time. http://www.simplemachines.org/community/index.php?topic=266023.0 Además como dicen mis amigos arabes :xD Citar این مورد مشکل امنیتی نیست . در واقع راهی برای دور زدن فیلترینگ هست که اگر چک کنید بقیه forum ها هم همین مشکل رو دارن vBulletin - PHPBB - SMF & .... También se puede usar en todos los foros que utilizen este sistema.http://www.mambolearn.com/forum/index.php?action=printpage;topic=16766.0 Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Nakp en 5 Octubre 2008, 21:24 pm jaja eso se usa desde hace años aqui :P de hecho en el post de recopilación de vulns de xss lo tuve q usar porq era la unica forma de poner code,/code. Al rato descubriras que un moderador de un subforo puede poner chinchetas en subforos donde no es moderador xD mentiras :P [code][/code] (se me olvidó un slash xD) como coadmin tenés acceso a modificar las etiquetas disponibles aquí :xD si las leyeras :rolleyes: cita mi mensaje para ver como se hace jajaja Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: sirdarckcat en 6 Octubre 2008, 00:26 am bueno, y como pones [nobcc][code][/code][/nobcc] sin el truquito? xD
Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Darioxhcx en 6 Octubre 2008, 01:02 am [nobcc][code][/code][/nobcc]
(? XD Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: sirdarckcat en 6 Octubre 2008, 01:40 am es nobbc!! XD jaja okok :P
no sabia que habia eso :¬¬ el de acronym igual hace poco me entere de su existencia Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Nakp en 6 Octubre 2008, 03:25 am es nobbc!! XD jaja okok :P no sabia que habia eso :¬¬ el de acronym igual hace poco me entere de su existencia por eso decía.. si leyeras que tags tenemos disponibles (solo lo saben los admin, pues están en el panel) :xD salu2 Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: sirdarckcat en 6 Octubre 2008, 05:13 am lo que pasa es que en este subforo no soy coadmin, soy moderador, y cuando me voy a otro subforo olvido por completo lo que leí aquí, entonces por eso nunca he checado el panel pa ver los tags :(
Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: WHK en 6 Octubre 2008, 05:19 am jaja otro bug, siendo coadmin y moderador este último se sobrepone al tipo de usuario original restringiendo los accesos, te apuesto que eso pasaría incluso con administradores.
Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: Dacan en 17 Octubre 2008, 00:17 am Buen Aporte esta interesante pero porque solo con 1.1.6 creo que se podria con las otras versiones también.
Saludos, Dacan :D Título: Re: SMF 1.1.6 Filter Post Bypass Publicado por: 1nc0d3 en 29 Octubre 2008, 02:05 am Excelente!!! pero ya lo habia descubierto sinceramente xD es lo que usaba para hacer spam en otros foros!
|