Некая profile powered by punbb. Лучшие инструменты для крауд-маркетинга
Features:
Is a fast and lightweight PHP-powered discussion board.
Released under the GNU General Public License.
Supports MySQL, PostgreSQL and SQLite databases.
Faster, smaller and less graphically intensive as compared to other discussion boards.
Has fewer features than many other discussion boards, but is generally faster and outputs smaller, semantically correct XHTML-compliant pages.
Very secure and has been tested for years.
Has a simple layout and design.
Easy to administrate and moderate.
Has source code you can read and understand.
Easy to modify.
A large number modifications, styles and plugins are available.
Installation and upgrade instructions
Installation and upgrade instructions can be found in the included documentation (or at the ). I have also generated a couple of patch and hdiff files to assist those upgrading from older versions. These can be found in the .
The Russian version of PunBB+ can be downloaded here. It is a slightly modified version of PunBB+ to include UTF-8 support and also includes a couple of pre-installed modifications and plugins.
- The Kurdish version of PunBB+ can be downloaded here. It is a slightly modified version of PunBB+ to include full UTF-8 support, RTL adjusted style sheets and also includes a couple of pre-installed modifications and plugins.
Administration plugins - Administration plugins can be downloaded from the PunBB downloads page.
- For RTL (Right To Left) languages such as Arabic.
- Use it to flip css files to Right to Left direction (any css file or folder).
Недавно в PunBB был найден ряд уязвимостей — PHP-инклюдинг и SQL-инъекция.
Уязвимость позволяет удаленному пользователю выполнить произвольные SQL
команды в базе данных приложения. Удаленный авторизованный пользователь может
выполнить произвольный PHP сценарий на целевой системе. Уязвимость существует из-за недостаточной обработки входных данных в сценарии
‘profile.php’. При включенной опции ‘register_globals’, удаленный
пользователь может выполнить произвольные SQL команды в базе данных
приложения. Существует уязвимость при обработке pun_include тегов. Удаленный пользователь
может загрузить и выполнить произвольный PHP сценарий на целевой системе.
Разработчики форумов не перестают радовать простых обывателей новыми версиями
своих продуктов, а обыватели в свою очередь ресурсами серверов простых
скрипткидди. Буквально на днях было открыто 2 новых критических бага в
популярном форуме punbb человеком по имени Stefan Esser .
И сейчас я постараюсь объяснить как это всё работает.
Для начала надо поднять права до администратора с помощью sql-injection.
Открываем в браузере страницу
http://site.ru/punbb/profile.php?id=*
сохраняем её на винт, изменяем через блокнот строчку: