هک مدیریت از طریق لینک [i m g] ./?AdminRegUserEdit&admin&id="masod021"[/i m g]
جدید با این روش خیلی راحت مدیریت چت روم ها رو هک میکنند
توضیح : اگر در چت روم هیچ ادمین و مدیری وجود نداشته باشه با فرستادن لینک بالا به راحتی خودشون رو مدیر میکنن
حل باگ هک مدیریت از طریق لینک ?AdminRegUserEdit&admin&id=555
توضیح : فقط برای اونایی که میخوان بدون اپلود فایل ها فقط همون دو تا فایل رو اپدیت کنند
اول وارد AdminRegUserEdit.class.php شوید
کد زیر رو پیدا کرده
کد:
if ($_SESSION['etchat_'.$this->_prefix.'user_priv']=="admin"){کد زیر رو بعد از کد بالا قرار بدید یعنی زیر کد بالا بزاریدش
کد:
// Checksum
if($_GET['cs4rue']!=$_SESSION['etchat_'.$this->_prefix.'CheckSum4RegUserEdit'] || !isset($_GET['cs4rue']) || !isset($_SESSION['etchat_'.$this->_prefix.'CheckSum4RegUserEdit'])){
echo "Dear Admin this User tried to fake you. ;-)";
return false;
}
وارد فایل AdminRegUserIndex.class.php شوید
کد زیر رو پیدا کرده
کد:
$print_sitemaker = $sitemakerObj->get();
کد زیر رو بعد از کد بالا قرار دهید
کد:
// Checksum
$_SESSION['etchat_'.$this->_prefix.'CheckSum4RegUserEdit'] = rand(1,999999999);
بعد از انجام تغییرات بالا
درجات کاربرا مدیرا و معاون ها و ادمین ها برای مثال ناظر این جوری هستش لینکش
کد:
| <a href=\"./?AdminRegUserEdit&mod&id=".$datasets[0]."\">mod</a> |
شما باید به صورت زیر تغییر بدید
کد:
| <a href=\"./?AdminRegUserEdit&mod&cs4rue=".$_SESSION['etchat_'.$this->_prefix.'CheckSum4RegUserEdit']."&id=".$datasets[0]."\">mod</a> |
