|
Downgrade > Forums > Networks > Уязвимость PunBB 1.2.4, выдаем себе админские права
<< < Page 1 of 1 > >>
|
Moderation History | New Thread | Reply | Subscribe
|
rega
Member since Jun 15, 2026
|
В PunBB 1.2.4 и ниже есть уязвимость в profile.php при смене e-mail (action=change_email) из-за отсутствия фильтрации параметра req_new_email, поэтому получается SQL-инъекция
http://pastebin.downgrade-net.ru/paste.php?id=709
Для использования вам понадобится catch-all сервер почты, т.е. тот сервер, где все письма, отправленные на любые адреса домена, попадают в один почтовый ящик + обычная учетная запись на форуме-жертве
После того, как вы запускаете программу, на ящик приходит ссылка от форума для активации,после перехода по ней вы получаете group_id=1,т.е. становитесь администратором форума
Для запуска нужен Python 3
Пожалуйста, не используйте эту уязвимость на всех форумах которые только видите. Это как раз вредительство нашему собственному сообществу, гораздо лучше использовать это на форумах под управлением Эрика (eriko) |
| Posted Jul 2, 2026, 05:06 PM |
Quote
|
l0shadka
Member since Feb 04, 2026
|
Где скачать PunBB 1.2.4 для локального теста? |
| Posted Jul 2, 2026, 09:02 PM |
Quote
|
|