تحديث آخر نسخة 1.8.37

تقييم الموضوع :
  • 0 أصوات - بمعدل 0
  • 1
  • 2
  • 3
  • 4
  • 5
تحدى لإختراق منتديات mybb
#1
السلام عليكم
اخي العزيز الحقيقة انا كنت من مستخدمي منتديات MyBB وحبيتها كثير بس شي واحد فقط اللي خلاني احول المنتدى الى
VB 3.6.8 لانها معدومه الثغرات 100% اعظم الهكرز يعكفون ليل نهار لايجاد ثغره ولو بسيطة لهذه النسخه بدون نتيجه اما منتديات MyBB نزلت حوالي 6 ثغرات في اقل من شهرين واغلبها بخطورة عاليه ...
والله ما ادري ايش اقول لكـ بس انا املي خاب في MyBB

سبحان الله وبحمده , سبحان الله العظيم
Bux4arabs.com

شكر من طرف :
#2
صراحة , واأسف على ذلك. انا اللى خاب ظنى بك. كنت اظنك لك خبرة جيدة بالهاكر والحماية, الخ
لكن الذى وضح الأن يثبت عكس ذلك. كيف تقول على الـ vb او غيره معدوم الثغرات؟
انسيت انه جل من لا يسهو؟ معنى انه لم يتمكن احد من ايجاد ثغرة فهذا لا يعنى انها معدومة الثغرات.
انا لا ادافع عن الـ mybb او اهاجم الـ vb لكن لا يوجد شئ كامل.
ويكفينى انى الحمد لله لا اعرف شخص يستعمل منتديات mybb وتم اختراق منتداه. على عكس الـ vb
اتريد اثبات؟ تم اختراق منتدى vb
الصفحة اعلاه تأتى بنتائج منتديات تم اختراقها بالفعل. قارن بينها وبين تم اختراق منتدى mybb
كلها عبارة عن محاولات لم ينجح بها احد. او ثغرات بالنسخ التى كانت منذ سنتين او اكثر.
اتريد البعض بالإنجليزية؟ لماذا لا.
my vbulletin hacked
mybb forum hacked
النتائج متساوية تقريبا صح؟
ما اريد اثباته, هو انه ليس العيب فى mybb او فى الـ vb
لكن كما قلت جل من لا يسهو. هذا اولا. وثانيا اغلب الإختراقات تكون عن طريق الإضافات الكثيرة التى ليس لها اى فائدة غير المنظرة والسلام..

وبالنسبة للـ 6 ثغرات التى تحدثت عنهم. هل رأيت احد اخترق بسببهم, قبل ان يتم تنزيل الترقيع لهم؟
اما من اخترق بعد ذلك فالخطأ منه لأنه لا يتابع تحديثات المنتدى.
هذا كان مجرد رأى ليس الا.
شكر من طرف :
#3
وانا أوافق الأخ بيبو فى ذلك
أنا كنت خلاص هاشترى الـ IPB بس واحد ابن حلال ورانى الـ MyBB ومن سعتها قولت توبه
لدرجة إنى عملت ستايلات كتيرة له ويمكن رؤيتها عند زيارة منتداى
وكمان بيبو بصراحه مش مخلينا عاوزين حاجة
يا إبنى ده أنا خنقته من كتر الطلبات علشان المنتدى يبقى كويس واجمل وكل أسئلتى كانت فى الإستايلات وكيفية زبطها.
وكمان عمال أسأل على حاجات كتيرة علشان المنتدى يكون أمن إن شاء الله وكله تمام
والله يا جماعه انا قعدت مدة كبيرة جداً علشان الاقى منتدى كويس وأخيراً كان الـ MyBB
بالإضافة إلى إننى نصحت به العديد من الأصدقاء عبر الإنترنت والذين يستخدمون نسخ إنجليزية من الـ IPB وكلهم حولوا للـ MyBB ووالله ببيشكرونى عليه
وكمان أكبر دليل على قوة النسخة هو وجود الكثير من الإصدارات المتلاحقه والكثير من الترقيعات الأمنيه (مع إنى يا أخى مش بحب كلمة الترقيع دى ... بس اهى دى الى انتوا بتستعملوها).
يعنى خد مثال الـ Windows كل الناس تقولك زفت وقطران ومش كويس وعلطول فى ترقيعات أمنيه ونسخ ملحقه (service packs) وكل الناس بتحاول تعمل هاك ليه ورغم كل ده أثبت كفاء قتاليه رائعة وموجود لحد دلوقتى.
وبالرغم من ان كل الناس بتقول ان الـ linux or unix احسن منه إلا أنهم ناسين تماماً إن قليل أوى اللى بيحاول يخترقه علشان مش ناس كتيره بتستعمله زى الـ windows
يارب تكون المعلومه وصلت.
شكر من طرف :
#4
جماعة انا عايز أقول حاجه مهمة بالنسبة لنقطة الثغرات دي واللي شايف كلامي صح يقول ...

دلوقتي أنا اللي أعرفه أن منتديات mybb مجانية للجميع ومفتوحة المصدر والكود وده معناه أن أي حد يقدر يعدل عليها وكل الناس تقدر تشوف الكود بتاعها وعليه فإن أحتمال وجود الأخطاء والثغرات ومن ثم تصحيحها كبير جداً لأن العين ديماً على الكود من ناس كتيرة راغبة في التطوير ...

أما بالنسبة للـ vb فهي عبارة عن نسخة بتشتريها وتشري الترخيص بتاعها زي ما هي كده متعرفش فيها ثغرات أيه ولا أيه حاجه وعشان تعدل ولا تعمل فيها بتتعقد ... ده بالإضافه إلى أن بسم الله ما شاء الله ثغرات vb فظيعه وقاتله .

أبسط حاجه شوف نزل كام نسخة من منتديات vb لحد دلوقتي ونزل كام نسخه من منتديات mybb هتلاقي أن منتديات vb نزل منها نسخ كتيرة وكان أغلب ومعظم النسخ لسد الثغرات القاتلة اللي فيها .

أخيراً أنا عايز أقول أني مش بهاجم منتديات vb وبدافع عن منتديات mybb بس كفايه إنك لو دخلت الموقع الرسمي لـ mybb هتلاقي في المنتديات بتاعته ناس من مختلف أنحاء العالم بتشارك بأفكارها ونصائحها ودعمها مقابل لا شيء مش زي الشركة المنتجه لـ vb .

تحياتي للجميع وفي أنتظار أني أسمع أرائكم ..

إذا كنت لا تقرأ إلا ما يُعجبك فقط ، فإنك إذاً لن تتعلم أبداً !

[صورة: modern.gif]
*
WwW.Modern2Day.CoM

When Quality Matters
شكر من طرف :
#5
السلام عليكم ...
اولاً اخي بيبو ( ليس تفاخر مني ولكن انا بالفعل لدي خبره كبيرة بالهاكر والحمايه وافعالي تدل على ذلك لا اقوالي واذا تحب تتأكد ادخل المنتدى الخاص بي فهو خاص بالهاكرز والحمايه ... )
ثانياً منتديات vb معدومه الثغرات ولكن تبقى خطورة اكتشاف الثغرات الجديده من نوع sql لكن ثغرات الانكلود مرقعه 100% ...
وانا ايضاً خاب ظني فيك وحسبتك عبقري php وكنت بتركز ان الشركة غلقت الدوال المفتوحه بهذا الشكل :
$name = get فهذه الدوال تسمح لك بعمل انكلود لملف خارجي ...
وهذا ما اغلقته الشركه تماماً واذا تحب اطلع لك ثغره ريموت فايل انكلود انا مستعد ولكن لست متفرغ حالياً
اما نسخه mybb فهي ليست محميه ضد اغلب الثغرات وانا لا اقول ان مبرمجي نسخة vb لا يخطئون ...
جل من لايسهو ولكن شركة كبيرة ولها تجارب سابقه مع الثغرات فبالطبع لها خبره كافيه عن كيفيه اغلاق الثغرات ...
اما بالنسبة بالنسبة للاستغلال .. وخصوصاً الثغره التي اكتشفتها انا استغليتها قبل ما اعلن اكتشافها استغليتها على موقع من اشهر مواقع MyBB وهو :
MyBB Themes.
والدليل الشرح الفيديو اللي ارسلته لك مسبقاً والتطبيق كان على هذا الموقع في الشرح ...
صحيح ان الشركة ممتازة جداً في سد الثغرات لحظة نزولها ولكن (( في ثغرات برايفت حصريه ))
يعني انا ممكن اكتشف ثغره في اخر اصدار mybb وما اعلن عنها استغلها انا وحدي او انا ومنظمتي الخاصه بس
ممكن والا لأ ؟؟؟ وكيف بتعرف الشركه طريقة الاختراق ؟؟؟
اما بالنسبه لقولك ان في منتديات vb كثير مخترقه اكثر من mybb هنا دع الكلام للهاكرز ..
تخيل معي ...
انا ممكن اخترق منتدى dd4bb وليس بثغره في المنتدى بل عن طريق موقع ثاني على السيرفر مثلاً مجلة جمله او مركز رفع ملفات او اي ثغره سواء كانت برايفت او public ...
كما ان منتديات mybb لم تمنع اكواد html تلقائياً يجب منعها يدوياً وهذا متعب وممكن جداً عمل اكواد تحويل بلغه htmlاو حتى تطبيق اوامر على السيرفر عن طريقها مثلاً هذا الامر ...
../../../etc
هااا وضحت الفكره ؟؟؟
وسبب كثره الاختراقات لمنتديات vb هو انتشارها ليس الا كما ان اضافات مثل هاك الاهداءات ومكتبه الصور تسبب مثل هذه الاختراقات ...
اما منتديات mybb فكانت الثغرات في المنتدى نفسه وليس في هاكات خارجيه ...
صدقني انا لا ادافع عن vb فلست مبرمجها ولست من محبيها ايضاً كما انني لا اكره mybb ولست من معارضيها ولكن انا صاحب موقع وانت ايضاً ولا يحب احدنا خساره مجهوده لاسباب خارجه عن ارادته ...
فالخيار دائماً يكون الحمايه لا الشكل ... صحيح انني اعجبت جداً بمنتديات mybb لسهوله التعامل معها ومميزاتها الرائعه ولكنني اعجبت اكثر بحمايه vb كما ان منتداي مستهدف اكثر من منتداك والسبب ان منتداي خاص بالهكرز والحمايه وهذه الفئه لا احد يثق فيهم ابداً قد يكون مشرف في موقعي من حاول اختراقي او حتى عضو مميز كلها في سبيل اثبات الذات ...
اما موقعك فهو موقع خدمي بعيد عن تحدي الهكرز وبعيد عن مايبحث عنه الهكرز والا لكنت (( ضحيتي )) ...
في الاخير اعتذر لك عن اي شي قلته اغضبك حبيت ارد عليك فقط ... ســلام

سبحان الله وبحمده , سبحان الله العظيم
Bux4arabs.com

شكر من طرف :
#6
اولا يا طيب. انت ماقولت شئ يضايقنى, ولا ردى عليك كان ناتج عن اى غضب.
ده مجرد اختلاف رأى وهو لا يفسد للود قضية.
نرجع لموضوعنا.. اولا بمناسبة قولك انك خاب ظنك بى وكنت تظن انى عبقرى php فاعزرنى انت من اعتقد ذلك من تلقاء نفسك.
اعرض لى اى قول قولته انا مسبقا يقول انى ادعيت انى خبير php.
بل على العكس انا مازلت مبتدئ وابحث كل يوم واتعلم يوم بعد يوم. واحب دائما ان اصل الى مبتغاى بالإجتهاد والتعلم.

بالنسبة لموضوع الثغرة التى اكتشفتها وطبقها وعرضتها لى فى ملف الفيديوا على منتدى mybb themes
فاعزرنى. فهى لم تكن بتلك الخطورة. هى خطرة فى حالة ان السيرفر يسمح بقراءة اكواد php او perl داخل ملفات لها امتدادات مختلفة مثل .rar او .txt و 99% من السيرفرات مؤمنة من هذه الثغرات القديمة.. والا كان زمانك مخترق فعلا موقع mybb themes ام انا مخطئ؟ لكن الترقيع نزل فقط كانوع من بعث الطمئنينة بما ان الثغرة هناك من يعلمها فيجب ان نطمئن مستخدمى mybb بسد هذه الثغرة حتى لو كان تأثيرها ضعيف.
إقتباس :انا ممكن اخترق منتدى dd4bb وليس بثغره في المنتدى بل عن طريق موقع ثاني على السيرفر مثلاً مجلة جمله او مركز رفع ملفات او اي ثغره سواء كانت برايفت او public ...
اذا المشكلة ليست فى mybb بحد ذاته لكن اذا حدث هذا فهى مشكلة بحماية السيرفر نفسه.
اذا كنت تقول dd4bb.com كامثال فلا مانع. اما اذا كنت تعنى منتدانا بالفعل.. اتحداك فى هذا الأمر موبايلات بقة ها
إقتباس :كما ان منتديات mybb لم تمنع اكواد html تلقائياً يجب منعها يدوياً وهذا متعب وممكن جداً عمل اكواد تحويل بلغه htmlاو حتى تطبيق اوامر على السيرفر عن طريقها مثلاً هذا الامر ...
../../../etc
هااا وضحت الفكره ؟؟؟
1- اعزرنى يا طيب. هذا ناتج عن عدم خبرتك بالمنتدى. اكواد الـ html محجوبة بالكامل من المنتدى تفعيلها فقط هو الذى يتم بطريقة يدوية..
2- بالنسبة للثغرة الأخرى التى تقول عنها يمكنك ان تكشف بها عن ملفات ../../../etc بواسطة الأنكلود فهذه الثغرة موجود بهاك المحرر فقط ليس الا.. اتحداك اذا استطعت فعل ذلك فى منتدى mybb لا يستخدم هذا الهاك.

وكما قلت انت انك لا تكره الـ mybb ولا تدافع عن الـ vb فأنا كذلك لا اكره الـ vb ولا ادافع عن mybb
كل مافى الأمر انى اختلف معك فى وجهة نظرك فقط ليس الا. فما الداعى لدفع 180 دولار مقابل منتدى. وانا يمكننى الحصول على منتدى سهل ويقضى غرضى بالمجان؟ هذا كل مافى الأمر..

إقتباس :اما موقعك فهو موقع خدمي بعيد عن تحدي الهكرز وبعيد عن مايبحث عنه الهكرز والا لكنت (( ضحيتي ))
لا ادعى انى مؤمن بنسبة 100%
لكنى متأكد ان التأمينات التى قمت بها هى كبيرة عليك لتستطيع اختراقها!. على كل حال اعتبرنى احد من ما تتكلم عنهم
واجعلنى اقتنع انه يمكن ان اكون ضحيتك.. وقتها اذا نجحت انت وانا لم استطع على الأقل ارجاع المنتدى كما كان دون خسارة حرف واحد به.
لو كنت اعتبر ان هذا المنتدى ملك لى. كنت سأقول لك سأستغنى لك عنه بالكامل
لكنه به مجهود اخرين غيرى وهذا ما لا املكه ولا استطيع ان استغنى عنه او اتنازل عنه.
ولكن
وقتها سأقف لك واحييك واقول لك انت تفوز واقر لك انك مخترق وعبقرى وو و الخ
شكر من طرف :
#7
اووكي اخي بيبو قريت ردكـ واعجبني ...
وبالنسبه لقولي انني خاب ظني فيك كعبقري php صحيح انت لم تقل ذلك ولكن خاب ظني في اعتقادي ليس الا كما انني لما اقل انني عبقري Hacking وحمايه ... (( نفس الشي ينطبق على الاثنين )) ...
بالنسبه للثغره اللي اكتشفتها اووكي من ناحيه عندك حق هي ليست بتلك الخطورة الكبيرة التي تحدثها ثغرات مثل :
Remote File Include او Local File Include او Sql - Injection ولكنها تبقى ثغره خطيره ...
صحيح انني عند اكتشاف الثغره كنت اعتمد على كونها مصرحه في ملف htacsses ولكن هذي الطرق القديمه ...
في طريقه جديده تسمح لي بتشغيل الشل حتى لو ما كان مصرح من قبل ملف htacsses وهو شل او سكربت حسب ماتريد من برمجتي ... وحالياً هو قيد البرمجة وفي المراحل الاخيره ويثبت قدرته العاليه جداً في تخطي هذه العقيه التي اصبحت من الماضي وللعلم انا مجربها قبل قليل على نسخه منتدى mybb1.2.12 الاخيره المحميه جداً والتي تشعركم بالامان ... على حسب قول البعض ونجحت الفكره من حيث المبدأ الا انني كما قلت انها في قيد التطوير والمسأله مسأله وقت ليس الا ...
يعني ليس منتديات mybb وحدها المتضرره من هذا التخطي على العموم ...
بالنسبه لاكواد الـ html اخي انا جربت النسخه ولست بجاهل عنها فقد ركبتها في موقعي عندما افتتحه وهي تسمح باكواد html مالم تمنع انت ذلك .... طيب وحتى لو ما تمنع ثغره اكواد الـ html بسيطة وليست بتلك التأثير وجل ما تفعله ان تقوم بكود تحويل او تعمل سكربت مبسط داخل الصفحة يمكنك من تنفيذ اوامر على السيرفر ...
اما بالنسبه لقولك ان ثغره رفع الملفات بصيغه مختلفه مثل .txt او .rar قديمه فاعذرني هذا ناتج عن عدم خبرتك بامور الحماية او الاختراق لانني ولا زالت اجد سيرفرات قويه مصابه بهذه الثغره ...
اخي العزيز لو الهكرز يعتمدن على ثغره واحده في الاختراق ماكانوا اخترقوا اكثر من 10 مواقع الثغره هذه كانت قديمه وتم تطويرها من جديد لتصبح خطيره وفعاله ... تحب تشوف بنفسك ادخل منتداي وشوف دروس الهاكرز بتفهمني والا ابحث في google عن هذا الموضوع ...
اما بالنسبه لموقع mybb themes شي واحد اللي ردني من اختراقه اولاً ان المشرف الغبي Fire Fox كان اونلاين ولاحظ حركات غريبه في المرفقات فعمل لي باند طوويل الامد وانا كنت فاضي احاول من جديد كما انني لم اكن املك الشل الذي املكه حالياً والخاص بالتخطي وايضاً لم اكن بالقدارت والمعرفه التي وصلت لها حالياً ...
لكن انا شرحت عليه وطبقت الثغره الى اخر نقطه فيها صح والا لأ ؟؟؟
اولاً انا رديت عليك في الموضوع لسبب معين انك تقريباً تستهزء بقدراتي وهذا شي لا اسمح به ابداً ...
فانا هكر لي انجازاتي وابداعاتي كما انني لست اعظم هكر هناك من هم احسن مني بالف مره ولكن لا احب ان يستهزء احد بمجهودي او بقدراتي ...
كما انني ارى انك تتحداني ان اخترق المنتدى ...
مبادرة ربما اقبل بها او لا وهذا يعتمد على ظروفي فانا حالياً مشغول جداً وفي قائمتي مواقع اهم جداً من dd4bb ليس استهزءً به ولكن انا لي اولوياتي كما انني طالب قبل كل شي والاولويه للدراسه ...
ربما احاول اخترقك اذا سنحت لي الفرصه ... وللعلم سيرفرك ضعيف واعتقد انك بتفهم كلامي ...
ســــــلام

سبحان الله وبحمده , سبحان الله العظيم
Bux4arabs.com

شكر من طرف :
#8
إقتباس :حيث المبدأ الا انني كما قلت انها في قيد التطوير والمسأله مسأله وقت ليس الا ...
يعني ليس منتديات mybb وحدها المتضرره من هذا التخطي على العموم ...
كلامك متناقد جدا. اذا كنت حقا وصلت لشئ لم يصل له غيرك من قبل. والمشكلة ليست فى mybb فقط اذا لماذا قولت ان المشكلة بالنسبة لك ان mybb ليست محمية بشكل كافى . مع ان المشكلة ليست بها فقط!؟
إقتباس :بالنسبه لاكواد الـ html اخي انا جربت النسخه ولست بجاهل عنها فقد ركبتها في موقعي عندما افتتحه وهي تسمح باكواد html مالم تمنع انت ذلك .... طيب وحتى لو ما تمنع ثغره اكواد الـ html بسيطة وليست بتلك التأثير وجل ما تفعله ان تقوم بكود تحويل او تعمل سكربت مبسط داخل الصفحة يمكنك من تنفيذ اوامر على السيرفر ...
لم افهم شئ. لكنى دعنى اقول لك للمرة الثانية انت مخطئ اكواد الـ html ليست مفتوحة افتراضيا فى mybb يتم فتحها بشكل يدوى وبناء على رغبتك.

إقتباس :اما بالنسبه لقولك ان ثغره رفع الملفات بصيغه مختلفه مثل .txt او .rar قديمه فاعذرني هذا ناتج عن عدم خبرتك بامور الحماية او الاختراق لانني ولا زالت اجد سيرفرات قويه مصابه بهذه الثغره ...
انت ادرى منى.. لكنى لا لم اقع على موقع توجد به هذه الثغرة من قبل
إقتباس :اما بالنسبه لموقع mybb themes شي واحد اللي ردني من اختراقه اولاً ان المشرف الغبي Fire Fox كان اونلاين ولاحظ حركات غريبه في المرفقات فعمل لي باند طووي
هذا ليس غباء من المشرف اى شخص بمكانه كان هذا رد فعل طبيعى له.
إقتباس :اولاً انا رديت عليك في الموضوع لسبب معين انك تقريباً تستهزء بقدراتي وهذا شي لا اسمح به ابداً ...
فانا هكر لي انجازاتي وابداعاتي كما انني لست اعظم هكر هناك من هم احسن مني بالف مره ولكن لا احب ان يستهزء احد بمجهودي او بقدراتي ...
لا لا يوجد استهزاء ولا شئ. لكنى صراحة اكره ان يقول احدهم انا و انا و انا ولم يتمكن من ان يرينى شئ بالفعل. العمل فى صمت هو خير القول.
إقتباس :كما انني ارى انك تتحداني ان اخترق المنتدى ...
هذا صحيح لنفس السبب الذى ذكرته من قبل.
إقتباس :مبادرة ربما اقبل بها او لا وهذا يعتمد على ظروفي فانا حالياً مشغول جداً وفي قائمتي مواقع اهم جداً من dd4bb ليس استهزءً به ولكن انا لي اولوياتي كما انني طالب قبل كل شي والاولويه للدراسه ...
هذا شئ يعود لك.
إقتباس :ربما احاول اخترقك اذا سنحت لي الفرصه ... وللعلم سيرفرك ضعيف واعتقد انك بتفهم كلامي ...
لا اوافقك الرأى. سبب بطء السيرفر فى بعض الأحيان هو كثرة المواقع المستضافة عليه وسوف يتم نقل كم منهم قريبا الى سيرفر منفصل ليتم ظبط كل شئ.
وعلى كل حال حتى لو هذا صحيح فهو ليس مشكلة mybb ايضا موبايلات بقة ها
شكر من طرف :
#9
اخي العزيز بيبو اتمنى ان تفهمني موضوع الشل الجديد هذا خارج عن موضوعنا ...
وكلامي ليس متناقض ابداً وساثبت لك ذلك بدون ان اقول انا وانا وانا مع انني لم اقلها من قبل لكن هذه نظرتك وهذا شئ يعود لك ...
ساثبت لك مقدرتي وكما تحب انت بصمت لن احتاج ليومين بعد اول حركه فستكون اول حركه لي هي الاخيره باذن الله ...
كما ان الشل الجديد ليس له علاقه بمنتديات mybb هو يقوم بعمله على جميع المواقع دون النظر الى نوع المنتدى او السركبت المركب على السيرفر ...
اما بالنسبه لسيرفرك فلن افصح عن اشياء اكثر ويهمني ان تبقى نظرتك للخلل في اطار البطئ ...
دع كل منا يعمل في مجاله وسنرى النتيجه
المهم اتمنى ان لا يفسد التحدي الود بيننا ...
ســـلام

سبحان الله وبحمده , سبحان الله العظيم
Bux4arabs.com

شكر من طرف :
#10
طيب مادام الموضوع كده أنا أعتقد لو كل الناس دى بدل ما تتجادل تجتهد شوية وتحاو إكتشاف الثغرات لسدها
شكر من طرف :


التنقل السريع :


يقوم بقرائة الموضوع: بالاضافة الى ( 1 ) ضيف كريم