Listinha de bugs:
Redirecionamento aberto por meio do parâmetro url do redirect.php, com isto podemos enviar para um site pornô usando a URL do fórum.
Se hospedado num ambiente Windows dá para realizar uma requisição usando uma página qualquer inicialmente, para inicialização das classes e logo após utilizar a tag routestring= na URL para acessar qualquer conteúdo do servidor. (:
Se uma URL estiver quebrada, por exemplo ... criar um tópico com enquete gera uma URL quebrada no fluxo de atividades, com isto se souber o que está fazendo dá para fazer o fórum se "auto-atacar" (SSRF).
Dá para fazer SQL Inject através do módulo /includes/moderation.php basta saber o caminho para o arquivo.
Ainda dá para fazer SQL Inject através da API que a Level Up julga ser segura, bom, basicamente se você acessar o método presente em includes/api/4/breadcrumbs_create.php da API você consegue executar um comando da SQL aleatória, com isso, pode se tiver sorte até se tornar admin. (:
Dá para fazer cross-site (XSS) nas páginas ... só não vou ensinar, pois ele é tão besta que mais cedo ou mais tarde alguém vai descobrir sem querer.
Dá para fazer uma coisinha bem legal usando URLs e uma chamada para o go.php interno (:
Dá para inserir páginas HTML em tópicos fixos usando a API (AHHH A BENDITA API QUE A MERDA DO BRAUNA SEMPRE FALA E A LUG NEGA) admincp/apilog.php.
E como sempre, a melhor parte do tópico é sempre o fim ... eis os melhores da seleção:
Similar ao que reportei sobre o bROWiki dias atrás, dá para acessar o conteúdo do install/upgrade.php e com isto remodelar o fórum ao seu gosto, basta saber aonde o arquivo está , além disto dá para criar uma conta de administrador através desta etapa sem necessidade de modificar alguma configuração, basta apertar next, inclusive dá até para saber aonde o DB está instalado e se ele estiver configurado para acesso remoto ... rapaz!!!
Aliás tendo acesso ao upgrade/install.php você terá acesso ao ID e e-mail do administrador geral do site, e repassando uma requisição POST, dá para alterar a senha dele e e-mail de validação, os parâmetros são:
customerid
htmldata[password]
htmldata[confirmpassword]
htmldata
Você conseguirá alterar o e-mail de acesso ou senha de qualquer pessoa (:
[*]O painel de controle do moderador pode ser facilmente acessado se você usar o redirect.php usando a tag URL apontando para uma página interna do painel, basicamente um ataque por CSRF, aliás, o seguintes métodos não necessitam de autenticação para serem executados, apenas estar presente na página (que você acaba de ganhar acesso):
Banir usuário passando o ID através da variável dobanuser presente em modcp/banning.php.
Desbanir usuário passando o ID através da variável unbanuser presente em modcp/banning.php :rolleyes::rolleyes:
Modificar conta de usuários a seu bel prazer.
Modificar postagem de qualquer pessoa, desde que você tenha o ID.