Xenforo Token Exploit

Herkese Selamlar Spyhackerz Ailesi Umarim Yararlı Olur
BAŞLIYALIM

Öncelikle Ne Bu Expoit Tarzı Açık ?

Bu Açıkla XenForo Sitelerde Üyelik Hakkında Bir Takım İşlemlerde Bulunabiliyorsunuz.Bunları Root Olmadan Yapıyorsunuz.Oldukça Kullanışlı.

Şimdi Şundan Bahsedeyim Her XenForo Sitede Her Üyenin Bir Tokeni Olur İşlemler Bu Token Üzerinden Yapılır.

örnek token : /oturumu-kapat/?_xfToken=186309%2C1491245191%2C87a182486389e6f1e7b30d36e9b1c2db764aef0b

Şimdi Token Kısmını Görmüşsünüzdür Sayılar Ve Harflerden Oluşan Tuhaf Bişey.

Peki Biz Bunu Nasıl Kullanıcaz Şimdi Forumda Diğer Üyenin (kurban) tokenini bulmamız lazım.

Bunun için xenforo da ne kadar önlem var bakmadım ama yazılımsal bir açık olması gerekli tokeni bulbilmek için.

şimdi diğelim kurbanın tokeni şu ;

4K23456634534cjf54536lf4657l3lsk45354356k35463k6k3l657k3kl4

Şimdi biz exploitimizi oluşturalım.

/oturumu-kapat/?_xfToken=4K23456634534cjf54536lf4657l3lsk45354356k35463k6k3l657k3kl4

"Token=" Yazan yerde başka bişeyde yazabilir biz "=" den sonra gelen yere tokeni yapıştırcaz ve exploit tamamdır.

Ayrıca Bitek Oturum Kapatma Değil E-Mail Doğrulama Gerektirmeden Kayıt'ta Oluyor.

İşe Yaramazsa İkinci Konuda Tam Olarak İşe Nasıl Yarar Göstereceğim

Yorumlarınızı Bekliyorum.

Fakat Tabi Bunu Siz metaspoit gibi araçlarla geliştirceksiniz öyle kullancaksınız.

@Mectruy

 

Herkese Selamlar Spyhackerz Ailesi Umarim Yararlı Olur
BAŞLIYALIM

Öncelikle Ne Bu Expoit Tarzı Açık ?

Bu Açıkla XenForo Sitelerde Üyelik Hakkında Bir Takım İşlemlerde Bulunabiliyorsunuz.Bunları Root Olmadan Yapıyorsunuz.Oldukça Kullanışlı.

Şimdi Şundan Bahsedeyim Her XenForo Sitede Her Üyenin Bir Tokeni Olur İşlemler Bu Token Üzerinden Yapılır.

örnek token : /oturumu-kapat/?_xfToken=186309%2C1491245191%2C87a182486389e6f1e7b30d36e9b1c2db764aef0b

Şimdi Token Kısmını Görmüşsünüzdür Sayılar Ve Harflerden Oluşan Tuhaf Bişey.

Peki Biz Bunu Nasıl Kullanıcaz Şimdi Forumda Diğer Üyenin (kurban) tokenini bulmamız lazım.

Bunun için xenforo da ne kadar önlem var bakmadım ama yazılımsal bir açık olması gerekli tokeni bulbilmek için.

şimdi diğelim kurbanın tokeni şu ;

4K23456634534cjf54536lf4657l3lsk45354356k35463k6k3l657k3kl4

Şimdi biz exploitimizi oluşturalım.

/oturumu-kapat/?_xfToken=4K23456634534cjf54536lf4657l3lsk45354356k35463k6k3l657k3kl4

"Token=" Yazan yerde başka bişeyde yazabilir biz "=" den sonra gelen yere tokeni yapıştırcaz ve exploit tamamdır.

Ayrıca Bitek Oturum Kapatma Değil E-Mail Doğrulama Gerektirmeden Kayıt'ta Oluyor.

İşe Yaramazsa İkinci Konuda Tam Olarak İşe Nasıl Yarar Göstereceğim

Yorumlarınızı Bekliyorum.

Fakat Tabi Bunu Siz metaspoit gibi araçlarla geliştirceksiniz öyle kullancaksınız.

Eline sağlık kardeşim güzel bir döküman olmuş.

 

Eline sağlık kardeşim güzel bir döküman olmuş.

Saol Kardeşim

 

token dediğin cookie olmasın ?

 

token dediğin cookie olmasın ?

Olabilir

 

Bunu @Security de paylaşmıştı . Alıntı diye geç .

 

fix oldu bu

 

ViewState olayını ve mantığını anlatmışsın bro sen

 

Bunu @Security de paylaşmıştı . Alıntı diye geç .

Ondan Almadım Görseydim Ben Paylaşmazdım.

 

Fixlenmişti Bu Herhalde.Ellerine Saglık Guzel Bir Dokuman.

 

Fixlenmişti Bu Herhalde.Ellerine Saglık Guzel Bir Dokuman.

Saol kardeşim

 

Ayyıldız Tim GOLEMTR12 Paylaştı Bunu Ayt Forumunda Sonra CW Olduğu Gibi Çaldı Şimdi Sen Çalmışsın Alıntı Yazsan İyi Olur.

 

Ayyıldız Tim GOLEMTR12 Paylaştı Bunu Ayt Forumunda Sonra CW Olduğu Gibi Çaldı Şimdi Sen Çalmışsın Alıntı Yazsan İyi Olur.

kardeşim golem12 bşlmem ne oda calmıstır zaten

 

Eline Sağlık