-
Posts
1494 -
Joined
-
Last visited
-
Days Won
15
Everything posted by hades
-
Zen Photos pluginDoc.php PHP file is vulnerable to local file inclusion that allows attackers to read arbitrary server files outside of the current web directory by injecting "../" directory traversal characters, which can lead to sensitive information disclosure, code execution or DOS on the victims web server. [+] Credits: hyp3rlinx [+] Website: hyp3rlinx.altervista.org [+] Source: http://hyp3rlinx.altervista.org/advisories/ZEN-PHOTO-1.4.10-LFI.txt Vendor: ==================== www.zenphoto.org Product: =================== Zenphoto 1.4.10 Vulnerability Type: ======================== Local File Inclusion CVE Reference: ============== N/A Vulnerability Details: ====================== Zen Photos pluginDoc.php PHP file is vulnerable to local file inclusion that allows attackers to read arbitrary server files outside of the current web directory by injecting "../" directory traversal characters, which can lead to sensitive information disclosure, code execution or DOS on the victims web server. Local File Inclusion Codes: ========================== http://localhost/zenphoto-zenphoto-1.4.10/zp-core/pluginDoc.php?thirdparty=1&extension=../../../xampp/phpinfo Disclosure Timeline: ===================== Vendor Notification: November 10, 2015 December 1, 2015 : Public Disclosure Exploitation Technique: ======================= Local Severity Level: ================ High Description: ===================================================== Request Method(s): [+] GET Vulnerable Product: [+] Zenphoto 1.4.10 Vulnerable Parameter(s): [+] extension [+] Disclaimer Permission is hereby granted for the redistribution of this advisory, provided that it is not altered except by reformatting it, and that due credit is given. Permission is explicitly given for insertion in vulnerability databases and similar, provided that due credit is given to the author. The author is not responsible for any misuse of the information contained herein and prohibits any malicious use of all security related information or exploits by the author or elsewhere. by hyp3rlinx via
-
Ruleaza pe Gentoo, RedHat, Debian, Mandrake etc. Cateva feature-uri: Checks for boot loader password. Looks for .forward, .exrc, .rhosts and .netrc files on the system. Checks that all accounts in /etc/passwd are in /etc/ftpusers. Reads /etc/hosts.allow and /etc/hosts.deny files via download
-
Stie ma-ta pe ce forumuri umblii?
-
))))) o sa mut threadu asta la cosu de gunoi.
-
La multi ani Romania. Muie Ungaria. TC.
-
TC. Trolling de cacat. Ban permanent. Sugeti cucu.
-
Ce bine ca esti incognito. Asa nu te pot gasi. Smart, smart.
-
Proiectele de genu asta se nasc moarte. Uite, eu sunt programator si sunt dispus sa scriu backendul pentru asa ceva, atata timp cat ai specificatii, requirements, o viziune clara asupra proiectului si un minim de 20$/h pentru munca mea. Daca mai apoi site-ul explodeaza si faci 1.000.000$ pe luna, foarte bine, daca nu, e treaba ta; eu am fost platit pentru munca depusa indiferent de rezultatul final, care tine foarte mult si de management. @Conjo: Daca o ti tot asa cu posturi de tot rahatul, o sa te trimit pe tusa o luna. Nu contribui cu nimic la discutiile din threadurile in care apari.
-
TC si ban la urmatorul post de genu. Fmm flamanzi.
-
Imi place ca toti va masturbati la gandu ca python e usor chiar daca n-ati scris in viata voastra o clasa .
-
We want you to gtfo since you blindly assumed that you're one of the last people who can properly speak english. I mean, you're dumb and you don't respect the forum rules, so I will just trash this thread and warn you. Have a nice day.
-
@Sveratus : Esti cam impertinent. Ti se pare ca suntem justitiari? Eu cred ca panarama ti-a dat papucii si esti putin suparat.
-
E adevarat. Am auzit ca virusul are un hook prin care face overflow bateriei si exista posibilitatea ca telefonul sa explodeze in timp ce incanteaza Allahu Akbar.
-
NICE MATE. trashed.
-
Ti-am ediat postul. Ai si cartonas, doar ca mi-e lene sa-ti dau ban. Aici nu e forum de CSisti sa postam date personale de la oameni care nu au nici o treaba pe noi. Problemele tale cu ea, nu ne intereseaza. Pastram decenta ca nu suntem vite.
-
Ratatul de @mybabylove aparent nu are nimic de spus. Ban permanent pentru ca e tepar jegos. Pentru cine vrea sa-i ureze de bine, nu uitati: Facebook: https://www.facebook.com/uzzy.pluzy Numar Telefon: 0757 363 572 Poza cu mucosu: Isi bea cafelele prin Baia Mare pe la Place/Symphony pentru cei interesati. Daca cautati la friends mai gasiti niste Tura pe-acolo.
-
Competiţie cu cei mai buni hackeri din lume, în Bucureşti. ->
hades replied to TheOne's topic in Stiri securitate
@Andrei: Tocmai d-aia ziceam ca, daca mai tin proiectul, va pot oferi live wall-ul prin sali gratis. Face aceiasi chestie in afara de bloguri si presa. Oricum, pana la anu mai e mult -
Competiţie cu cei mai buni hackeri din lume, în Bucureşti. ->
hades replied to TheOne's topic in Stiri securitate
@Andrei: La anu daca vreti va ofer eu o sponsorizare cu un social media agregator pentru eveniment, sa agregati si voi tot ce se scrie pe fb/instagram/twitter in functie de hashtag; Si-asa aveati pe-acolo spatii libere ce le puteati umple dragut + le mai venea oamenilor sa dea un tweet doar ca sa se vada acolo (aceiasi chestie ca si cu Wall of Sheep). -
Competiţie cu cei mai buni hackeri din lume, în Bucureşti. ->
hades replied to TheOne's topic in Stiri securitate
@Gecko facea referire la faptul ca pentru prostimea care se uita la stiri si aude de "oameni care sparg sisteme informatice" ca fiind cotati precum cei care vor face interentul sa functioneze, ceva nu o sa se lege. Cat despre challange-urile astea pentru pulime (nu IoT sau CTF), mi se pare ca au avut unele lacune care mi-au stricat tot fun-ul -
Sa vedem daca @mybabylove are ceva de zis. 24h sau ban permanent.
-
@albertynos: Salut. Vad ca utilizezi retelele sociale pentru trafic. Lucrez la un tool de automatizare pentru mai multe retele sociale. Daca ai timp de un chit-chat scurt da-mi un PM cu un jaber sau ceva.
-
Ok. Eu intelesesem altceva. Nu stiam ca e vorba de colocare.
-
Nefiind in domeniu am si eu o intrebare, legata de BitClouder: X inchiriaza de la tine Antminer s7 lunar, si iti plateste 77$ / luna, presupunand ca el face un anumit profit (sa zicem 80$ deci 3$ profit). Tu din aia 77$ ai de platit curent si alte cele pentru miner, dar presupun ca si tu ai acoperite cheltuielile respective. Deci amandoi sunteti pe profit. De ce sa inchiriezi aparatul cand il poti tine tu si sa ai profit 'de 2 ori' ?