Jump to content

Peppa Crente

Members
  • Content Count

    855
  • Joined

  • Last visited

Community Reputation

10 Good

1 Follower

About Peppa Crente

  • Rank
    Suspenso
  • Birthday 10/09/1992

Recent Profile Visitors

The recent visitors block is disabled and is not being shown to other users.

  1. Ai princeso, tem alguma coisa acontecendo na sua wiki, o cloudflare está mascarando, mas acho que o seu DB está com algum lock.
  2. O meu um Xiaomi MI6 (Que aliás as configs dele estão melhores que o IPhone X e por uma pequena fatia do preço).
  3. Agora bug mesmo é acessar pelo celular, a versão mobile tá uma bosta, a versão desktop no celular não sobe imagem ...
  4. Bom dia princeso, levanta o bROWiki senão a coroa cai.
  5. :rolleyes::rolleyes::rolleyes::rolleyes::rolleyes::rolleyes::rolleyes: Tá frio aqui, ai acendi a lareira.
  6. Listinha de bugs: Redirecionamento aberto por meio do parâmetro url do redirect.php, com isto podemos enviar para um site pornô usando a URL do fórum. Se hospedado num ambiente Windows dá para realizar uma requisição usando uma página qualquer inicialmente, para inicialização das classes e logo após utilizar a tag routestring= na URL para acessar qualquer conteúdo do servidor. (: Se uma URL estiver quebrada, por exemplo ... criar um tópico com enquete gera uma URL quebrada no fluxo de atividades, com isto se souber o que está fazendo dá para fazer o fórum se "auto-atacar" (SSRF). Dá para fazer SQL Inject através do módulo /includes/moderation.php basta saber o caminho para o arquivo. Ainda dá para fazer SQL Inject através da API que a Level Up julga ser segura, bom, basicamente se você acessar o método presente em includes/api/4/breadcrumbs_create.php da API você consegue executar um comando da SQL aleatória, com isso, pode se tiver sorte até se tornar admin. (: Dá para fazer cross-site (XSS) nas páginas ... só não vou ensinar, pois ele é tão besta que mais cedo ou mais tarde alguém vai descobrir sem querer. Dá para fazer uma coisinha bem legal usando URLs e uma chamada para o go.php interno (: Dá para inserir páginas HTML em tópicos fixos usando a API (AHHH A BENDITA API QUE A MERDA DO BRAUNA SEMPRE FALA E A LUG NEGA) admincp/apilog.php. E como sempre, a melhor parte do tópico é sempre o fim ... eis os melhores da seleção: Similar ao que reportei sobre o bROWiki dias atrás, dá para acessar o conteúdo do install/upgrade.php e com isto remodelar o fórum ao seu gosto, basta saber aonde o arquivo está , além disto dá para criar uma conta de administrador através desta etapa sem necessidade de modificar alguma configuração, basta apertar next, inclusive dá até para saber aonde o DB está instalado e se ele estiver configurado para acesso remoto ... rapaz!!! Aliás tendo acesso ao upgrade/install.php você terá acesso ao ID e e-mail do administrador geral do site, e repassando uma requisição POST, dá para alterar a senha dele e e-mail de validação, os parâmetros são: customerid htmldata[password] htmldata[confirmpassword] htmldata Você conseguirá alterar o e-mail de acesso ou senha de qualquer pessoa (: [*]O painel de controle do moderador pode ser facilmente acessado se você usar o redirect.php usando a tag URL apontando para uma página interna do painel, basicamente um ataque por CSRF, aliás, o seguintes métodos não necessitam de autenticação para serem executados, apenas estar presente na página (que você acaba de ganhar acesso): Banir usuário passando o ID através da variável dobanuser presente em modcp/banning.php. Desbanir usuário passando o ID através da variável unbanuser presente em modcp/banning.php :rolleyes::rolleyes: Modificar conta de usuários a seu bel prazer. Modificar postagem de qualquer pessoa, desde que você tenha o ID.
  7. Fique tranquilo é apenas uma atualização de bugs. E POR FALAR EM ATUALIZAÇÃO JÁ LERAM O CVE DE FALHAS DE SEGURANÇA PARA A VERSÃO INSTALADA? TEM ATÉ SQLINJECTION aheuheuheuehuehuehuehueheuheuhe
  8. O que o Skt falou sobre as férias é real, não tem um CM gente boa que tirou férias e voltou.
  9. Ticket com 0.01% de tirar o ovo, o ovo que por sua vez dá 0.01% de chances de tirar pack 100 jellopy. @carinha de cima: AMEI SEU NICK
  10. Verdade, cara chato, devia ser jogado numa vala e esquecido lá.
  11. Em 2015 o diretor de T.I. da LUG me contactou oferecendo uma vaga, recusei, obviamente. Eu que não quero sujar meu currículo ali, fora que duvido que eles pagariam o mesmo que eu recebo no emprego atual.
  12. Ia falar que após a manutenção dá para acessar todos os arquivos do servidor aonde o fórum está hospedado utilizando a variável routestring= mas deixa pra lá, deve estar bem protegido o arquivo de configuração do fórum, assim como o arquivo de conexão ao banco de dados, NÃO É MEIXMO. A Bella é uma excelente profissional, creio que mais alguém no fórum tenha permissão de banir.
  13. Que isso ein Dundé, o rei do Ragnarök destilando seu conhecimento em um simples tópico de mortais.
×
×
  • Create New...

Important Information