Хитрости на форумах PHPbb

[MXM]

Я понял, что за способ использовал Alexgraf - он просто перебирал параметр f при обращении к viewforum.php. Банально.

Так можно всю жизнь манипулировать..))

[avm]

Кстати не факт, что f=12 и f=14 скрытие, а не удаленные... И что таких "скрытых" не 3 например. Так что, знание которое можно получить таким образом ничего не даст!...

[Siava]

С таким же успехом можно сидеть и перебирать параметр t в viewtopic.php

[Alexgraf]

Xpert
Логи сильная вешь ! (как в анекдоте по героин)
Да, суть такова - имеем зарегистрированный аккаунт, но перебираем параметр f под гостём. На скрытых форумах он попросит ввсести пароль, если пытаемся войти, получаем - "такой темы не существует"... А если форума нет, то нет и запроса пароля...
avm
Еще как факт - суть пояснил выше
А то, что скрытых форумов больше... надо быть сильным параноиком, что бы или в начале создать много форумов, а потом удалить все кроме последнего, или править базу ручками
Согласен, что этот приём предстваляет чисто академический интерес, но в связке с другими, уже хакерскими манипуляциями, может быть полезен.

[Mysterio]

Alexgraf

Да, суть такова - имеем зарегистрированный аккаунт, но перебираем параметр f под гостём. На скрытых форумах он попросит ввсести пароль, если пытаемся войти, получаем - "такой темы не существует"... А если форума нет, то нет и запроса пароля...

Непонятен правда практический смысл данной хитрости...
Скрытые форумы у всех наверное есть...

[Alexgraf]

Mysterio
В умелых руках и столовая ложка - оружие
На самом деле я ни на что не претендую, этот способ пришел в голову когда я эксплуатировал sql-инекцию. После пропатчивания или смены версии форума он не представляет никакой опасности, но кто знает какие баги найдут завтра, вот по этому я и спросил мнение бывалых.

[sigal]

Загрузка аватар любого размера, минуя ограничения форума:

В гифках размер пишется в двух местах, проверка на форуме смотрит только в первом, браузер ориентируется по второму.
Если исправить руками в первом месте (с седьмого по десятый байт файла), то все работает.

можно загрузить квадрат малевича 1000x1000

а можно по подробней? как это делается? я конечно ломать никого не собираюсь, но знать интересно.

Добавлено спустя 5 часов 26 минут 36 секунд:

народ. ну че? мне кто-нить расскажет про эту фишку?

[VVVas]

sigal
Тебе ж написали:

Если исправить руками в первом месте (с седьмого по десятый байт файла), то все работает.

[sigal]

VVVas
вот я и не понимаю этот момент. что именно и где править?
на русский можно?

[VVVas]

sigal

Если исправить руками в первом месте (с седьмого по десятый байт файла), то все работает.

[sigal]

да та же самая цитата. че ей тыкать постоянно?
я не понимаю че править? как и где?

Добавлено спустя 33 секунды:

или это иными словами никак не рассказать?

[Smayliks]

sigal, открываешь гиф и ручками правишь размер с 7 по 10 байт. Как ещё объяснить?

[sigal]

блин.. фигня какая-та, нифга не выходит!!! размер подогнал в пределах 7-10 кб, а он все-равно пишет на форуме ограничение.

[YarNET]

После правки таким образом, размер по высоте и ширине форумом игнорируется, однако проверка размера в Кб остается. Т.е. можно загрузить аватару размером строго до 6 Кб, но ее высота и ширина будет значительно больше той, что указана в настройках конфигурации форума.

[sigal]

После правки таким образом, размер по высоте и ширине форумом игнорируется, однако проверка размера в Кб остается. Т.е. можно загрузить аватару размером строго до 6 Кб, но ее высота и ширина будет значительно больше той, что указана в настройках конфигурации форума.

так вот я так и сделал.. нифига не выходит... размер получился около 8кб, а ширина и высота больше тех что дозволено - не пропустил!