|
 | 作者: ancdut [ancdut]
 论坛用户 |
登录 |
| 大家在论坛上要看贴的时候 浏览器的状态栏里就有了地址 后面不是有个KEY=XXXXXXXXXXXXXX吗 呵呵 这个就是密啊 得想办法把他变成明文啊 |
| 地主 发表时间: 01/29 21:22 |
 | 回复: sunrain [sunrain]  论坛用户 |
登录 |
|
那加把劲 |
| B1层 发表时间: 02/01 21:24 |
 | 回复: vishx [vishx]  论坛用户 |
登录 |
|
我也找过,我想XXXXXXXXXXXXX转过来就是我们的用户名,那么一个字浮就对应N个X,节过才知到,每次上线XXXXXX都是不一样的,完了~ |
| B2层 发表时间: 02/04 17:15 |
 | 回复: ranchuan [ranchuan]  版主 |
登录 |
|
如果这都是明文 那不天下大乱..... |
| B3层 发表时间: 02/05 05:37 |
 | 回复: stone [stone] 论坛用户 |
登录 |
|
你们这些问题已经被老大当作漏洞给补上了!呵呵... |
| B4层 发表时间: 02/05 11:57 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
恩,真是~~才几天没来又变了样啦!~~ PLER写的CGI还是有可能性的嘛~~大家一起努力啊~~把20CN黑啦(开玩笑:) 我们是要把我们的20CN变成最好的HACKER网站~~大家说对吗? |
| B5层 发表时间: 02/07 18:14 |
 | 回复: nightcolor [nightcolor] 版主 |
登录 |
|
…… |
| B6层 发表时间: 02/07 19:23 |
 | 回复: NetDemon [netdemon]  ADMIN |
登录 |
|
既然大家这么有兴趣,那么我就给大家提供点线索吧 这个key=xxx呢,类似一次性密码那样的东西,它在你登陆的时候,根据你的用户名、IP和一个随机数生成的,它用来鉴别你的身份和权限,比如你在发贴时并不需要说你是谁,你只要说key=xxx系统就知道是您了。它在本次登陆期间有效,退出时就失效了 |
| B7层 发表时间: 02/07 19:54 |
| 回复: hebin [hebin] 论坛用户 |
登录 |
|
同意楼上的说法,但是你们自己发帖子的时候可得照顾咱们这些菜鸟哟!!! |
| B8层 发表时间: 02/07 20:01 |
 | 回复: quest [quest] 版主 |
登录 |
|
那就是session咯...那有你忙了... |
| B9层 发表时间: 02/13 15:25 |
 | 回复: aoming [aoming] 版主 |
登录 |
|
老大用的"local $xxx"?局部变量? |
| B10层 发表时间: 02/13 22:30 |
| 回复: NetDemon [netdemon] ADMIN |
登录 |
|
和变量类型无关的 |
| B11层 发表时间: 02/13 22:39 |
| 回复: group [group] 论坛用户 |
登录 |
|
需要加上那么多东西来算么,随便生成一个字串,跑到数据库里做比对就是了,老大肯定没加Ip进去算啦,要不然怎么会一个URL跑到哪里都能有一样的权限?如果加了IP不用那就太无聊了 |
| B12层 发表时间: 02/22 13:54 |
 | 回复: balsai [balsai] 论坛用户 |
登录 |
|
哪有能说明什么哟 |
| B13层 发表时间: 02/22 22:05 |
 | 回复: junjuntop [junjuntop] 论坛用户 |
登录 |
|
没加IP的话 至少可以有盗用你20cn的帐号 但这样没有什么价值 如果可以盗用NetDemon的 或许可以找到利用价值 但加了密的密码都是有时效的,12位,随机产生,盗用的可能性不大 |
| B14层 发表时间: 03/04 17:36 |
 | 回复: roxbin [roxbin] 论坛用户 |
登录 |
|
俺跟雨メ翼 一个想法。 |
| B15层 发表时间: 03/05 20:48 |
 | 回复: drckness [drckness]  论坛用户 |
登录 |
|
|
| B16层 发表时间: 03/05 21:04 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
确实是的~~除非你知道算法~~~否则是不可能的。。不过就算是知道你的算法,也有够忙的了。。。不过,不知道是否会有这样的问题:两个人同时上20cn论坛,当我知道了对方的XXXXXXXXXXXXXXX,我直接在IE里修改我的XXXXXXXXXXXXXXXXXXX为他的,是否我的权限会变为对方的呢? 我在E文资料看到一个PL串行溢出。。。但是要求的版本较低。 有问题的朋友可以去国外网站查查~~~网址好象是http://www.hackerben.net |
| B17层 发表时间: 03/06 10:25 |
| 回复: hl82 [hl82] 论坛用户 |
登录 |
|
挺有意思的!! 顺便问一下 我的级别可以上传图片吗? 如果 可以的话在哪里上传 [此贴被 风雪(hl82) 在 03月06日13时35分 编辑过] |
| B18层 发表时间: 2003-03-06 13:26:35 |
 | 回复: imstone [imstone] 论坛用户 |
登录 |
|
还有编辑字体,?! |
| B19层 发表时间: 03/14 14:36 |
| 回复: pinke1982 [pinke1982]  论坛用户 |
登录 |
|
进入 eww.vicp.net/bbs3000/image/ybbcode.htm 就知道拉 |
| B20层 发表时间: 03/16 20:59 |
| 回复: pinke1982 [pinke1982] 论坛用户 |
登录 |
|
还有就是去小组公告里看一下这个论坛支持哪些代码 |
| B21层 发表时间: 03/16 21:03 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
现在PL有未验证用户身份的漏洞吗?楼上说的太不实际了吧? 恩。斑竹,你怎么看啊?这个可是问题啊? |
| B22层 发表时间: 03/19 20:32 |
| 回复: benbenniao [benbenniao] 论坛用户 |
登录 |
|
可能这个可以实现的,我在我自己的机器上,打开二个IE,我可以使用我的一个已经登陆的用户的“key”直接登陆上来,是不是漏洞呢? |
| B23层 发表时间: 03/27 20:26 |
| 回复: 286 [unique] 版主 |
登录 |
|
KAO,林大了,什么鸟都有。 要作的别说,要说的就别作。 |
| B24层 发表时间: 03/31 10:35 |
| 回复: tyeying [zhouao] 论坛用户 |
登录 |
|
在KEY的后面加一个/会在你的机子上出现系统错误并且有一会儿不能登陆 |
| B25层 发表时间: 04/01 17:55 |
 | 回复: cainiao110 [cainiao110] 论坛用户 |
登录 |
|
那请问改写cookie可以吗? |
| B26层 发表时间: 04/03 00:09 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
那要看~~~斑竹他用什么P写的咯? |
| B27层 发表时间: 04/05 18:39 |
| 回复: clown [clown] 论坛用户 |
登录 |
|
可以欺骗cookie吧~ |
| B28层 发表时间: 04/15 15:30 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
我的回复同上 |
| B29层 发表时间: 04/24 18:21 |
| 回复: bking [bking]  版主 |
登录 |
|
引用: ―――――――――――――――――――――― 它在本次登陆期间有效,退出时就失效了 ―――――――――――――――――――――― 欺骗cookies也不行,我试过了,结果就是老大的这句话。 |
| B30层 发表时间: 04/24 18:28 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
我想由此而来证明20CN论坛PL版本是够高的。。 不过,我已经通过了实验证明我前面所假想的问题是存在的,包括20CN。 过程我不便说出来,结论是20CN现在所用的PL是可以不用知道别人的ID密码就可以使用别人的ID,只要当事人在线。 过程请大家自己研究,同时希望研究出来的朋友不要在20CN上面搞破坏! |
| B31层 发表时间: 04/26 18:41 |
| 回复: hl82 [hl82] 论坛用户 |
登录 |
|
复杂! |
| B32层 发表时间: 05/04 21:02 |
| 回复: NetDemon [netdemon] ADMIN |
登录 |
|
和perl的版本绝对是没有关系的 不用知道别人的ID密码就可以使用别人的ID也是不可能的除非"别人"和你在同一个网吧 这个问题早就加进了,你现在可以测试看看,如果别人和你不同的IP绝对进不了的 |
| B33层 发表时间: 05/04 21:36 |
| 回复: ancdut [ancdut] 论坛用户 |
登录 |
|
呵呵,斑竹。。你QQ多少 QQ上给你说。。我试过的能成功!那就不知道怎么回事了!呵呵。 |
| B34层 发表时间: 05/05 18:24 |
| 回复: NetDemon [netdemon] ADMIN |
登录 |
|
108666 或到聊天室,或用留言,或root@20cn.net [此贴被 NetDemon(netdemon) 在 05月05日19时53分 编辑过] |
| B35层 发表时间: 05/05 19:00 |
 | 回复: lvliang926 [lvliang926] 论坛用户 |
登录 |
|
???? |
| B36层 发表时间: 05-01-09 00:12 |
| 回复: qmdjzgqt [qmdjzgqt] 论坛用户 |
登录 |
|
知道了 |
| B37层 发表时间: 05-01-09 13:57 |
| 回复: peter [peter] 论坛用户 |
登录 |
|
~~~厉害。。不过网络里没有绝对的安全和永远的安全。。 总有一天我会标题栏上的“20cn网络安全小组社区”的后面加上我的名字 -----peter  努力努力努力努力努力努力 |
| B38层 发表时间: 05-01-10 00:35 |
| 回复: addmin [addmin] 论坛用户 |
登录 |
|
key=XZOyvPznNsME key=zSksqdvznbLd 我的显示不是XXX啊 |
| B39层 发表时间: 05-01-12 13:27 |
 | 回复: Domain [aomin]  论坛用户 |
登录 |
|
? |
| B40层 发表时间: 05-01-12 21:11 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号
论坛: 黑客进阶 标题: 呵呵,试着找了一下20CN论坛的漏洞,哎~~都加密了的