Tamaranga 2.0 null / (2.1 в соседней теме!)

Феерический бред. Смотри рекламу чаще - там хорошему учат: иногда лучше жевать, чем говорить.:facepalm:Вы хоть знаете, о чем речь и что такое LFI уязвимость? Php отключено - я в ахуе!:dead:
Люди говорят о том, что ломают направо и налево, а он как упоротый твердит, что все отлично и ничего такого нет...
И да - уязвимость я никому здесь закрывать не собираюсь ни з 300 ни за 1000 баксов. Можете не рассчитывать на это.
Для тех, кто в теме - на днях со стелсом будем разгребать код, ибо кроме LFI есть еще один баг, позволяющий управлять данными, удалять объявления в обход ограничений и многое другое...
Удаленный пользователь не может эксплуатировать уязвимость типа LFI, пока не внедрит нужный вредоносный код в любой файл на сервере, а как он ее туда внедрит? Поэтому бред конкретный.

А тот что внедрен самими разработчиками - это другой вопрос
 
Последнее редактирование модератором:
В общем, найдена уязвимость в движке и весьма прискорбная - локальный инклюд файлов. При помощи специально сформированного запроса можно посмотреть содержимое файлов и даже выполнить произвольный код в системе(ака залить шелл)
Судя по всему, это сделано намеренно, ибо не отфильтровать переменную вообще никак - верх нубизма. Так что в ваших сайтах может полазить не только тамаранга, но и любой желающий

вот есть такой уродец как Александр (ты его Доктор знаешь и Стелс знает), который взял и слил у меня сайт, еще такого у нас не было ( и этого человека я знал 3 года) ,( так что сразу говорю с ним не стоит вообще ничего делать и у Вас украдет!) , если возможность будет подскажите как убрать эту уязвимость, на Александа я подал официальное заявление , Максим с Тамаранги Говнюк полный ему пофигу что у него крадут скрипты. Сам не рекомендую никогда ни кому с таким ***но как команда Тамаранга связыватся!

PS Доступ получают через JS запрос из браузерной строки. Вывод избавлятся от JS тамары что и буду делать
 
Последнее редактирование:
Занимательно блин... :)
Читаю тему как повесть. Возможно перерастёт в роман, трилогию :)
 
Удаленный пользователь не может эксплуатировать уязвимость типа LFI, пока не внедрит нужный вредоносный код в любой файл на сервере, а как он ее туда внедрит? Поэтому бред конкретный.
Ну да, бред канеш! Про php код в картинке вы, видимо, тоже не в курсе?
Купите стиморол, в конце-то концов!
 
а вот этот сайт получится ломануть? общался с продавцом он говорит что все уязвимости закрыты но что то мне не верится что он их закрыл может кто проверить Для просмотра ссылки Войди или Зарегистрируйся
 
а вот этот сайт получится ломануть? общался с продавцом он говорит что все уязвимости закрыты но что то мне не верится что он их закрыл может кто проверить Для просмотра ссылки Войди или Зарегистрируйся
так он же (продавец) не расскажет все нюансы в создании своего скрипта, все лазейки так сказать. конечно, если поставить доступ по ftp и к базе сайта только к одному статическому ip и др. действия, можно уменьшить риски взлома сайта, но всё же, есть эти риски (как оказалось).
вот, просто по тому же логотипу, как и говорили, светятся сайты от "тамары" в google:
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
Для просмотра ссылки Войди или Зарегистрируйся
и др.
 
Последнее редактирование:
Ну да, бред канеш! Про php код в картинке вы, видимо, тоже не в курсе?
Купите стиморол, в конце-то концов!
Про php код в картинке еще с 2001 года известно, как ты ее туда зальешь и обратишься, если выполнение пыха закрыто. Ее пробовали ломать и не такие ЗНАТОКИ, и за деньги, по сей день никому не удалось.
 
Про php код в картинке еще с 2001 года известно, как ты ее туда зальешь и обратишься, если выполнение пыха закрыто. Ее пробовали ломать и не такие ЗНАТОКИ, и за деньги, по сей день никому не удалось.
Такие же знатоки, как и ты, видать. Иди, отдохни, если по-русски не понимаешь
 
PHP:
function init()
    {
        # Путь к админ.панели, формат: "/dir/dir/", "/dir/", "/" (слэш в начале и конце пути обязателен)
        $this->sessionCookie['admin-path'] = '/admin/';
второй файл точно такой же 'admin-path' => '/admin/',
А саму папку админ не надо переименовывать?
 
Назад
Сверху