Fix Bug ChangUonDyU - Advanced Statistics

Thảo luận trong 'Others' bắt đầu bởi Admin, 26 Tháng mười một 2015.

  1. Admin Nothing to lose.. your love to win.. Chuyển tiền

    Bài viết:
    Tìm chủ đề
    4,979
    Hôm nay vào xem log mới biết đêm qua diễn đàn vừa bị 1 hắc cờ ghé thăm :D

    Lỗi là do cái mod ChangUonDyU - Advanced Statistics này trước cài ở 4r cũ mình đã fix rồi nhưng sang 4r mới lại chẳng nhớ là nó có bug :p

    Mà công nhận bạn hacker này cũng giỏi decrypt được cái md5 pass của mình :p

    Nhưng đáng lẽ bạn vào được admincp rồi bạn ko làm gì thì có lẽ mình cũng k phát hiện ra đằng này bạn còn tặng miễn phí cho mình 3 con shell chèn trong 3 cái plugin khác nhau, cẩn thận quá ^^

    Cách fix:

    Truy cập Admincp -> Plugin & Products -> Plugin Manager -> ChangUonDyU - Advanced Statistics - Get Data

    Tìm dòng:

    $foruminid $vbulletin->db->escape_string($_REQUEST['listforumid']);

    $latestpostq $vbulletin->db->query_read("SELECT $queryfield FROM "TABLE_PREFIX ."thread WHERE forumid IN ($foruminid) AND forumid NOT IN (0$limitfids) AND visible = 1 AND lastpostid > 0 ORDER BY lastpost DESC LIMIT $cresult");
    Thay thế bằng:

    PHP:
    $foruminid trim($_GET['listforumid']);
    if(
    preg_match("/^[0-9\,]+$/",$foruminid)) {
        
    $latestpostq $vbulletin->db->query_read("SELECT $queryfield FROM "TABLE_PREFIX ."thread WHERE forumid IN ($foruminid) AND forumid NOT IN (0$limitfids) AND visible = 1 AND lastpostid > 0 ORDER BY lastpost DESC LIMIT $cresult");
    }
    else {
        echo 
    'Loi nhan danh cho hacker!';
        
    # Hoặc có thể chơi lại thằng hacker ngu bằng cách redirect đến một trang web giả mạo (fakebook chẳng hạn) hoặc đẩy virus về máy hoặc vv.. vv..
    }
    Ngoài ra mình còn tìm được một vài cách fix khác trên mạng các bạn tham khảo:

    Thêm bên dưới:

    PHP:
    $foruminid preg_replace("/[^0-9,]+/","",$foruminid);
    Fix theo cách này bị lỗi, vẫn show được dữ liệu ra ngoài.

    Hoặc:

    Mã:
    $vbulletin->db->query_read("SELECT $queryfield FROM ". TABLE_PREFIX ."thread WHERE forumid IN ($foruminid) AND forumid NOT IN (0$limitfids) AND visible = 1 AND lastpostid > 0 ORDER BY lastpost DESC LIMIT $cresult");
    Thay ($foruminid) bằng:

    Mã:
    ('$foruminid')
    Fix theo cách này sẽ ko get được bài viết cuối cùng của nhiều diễn đàn mà chỉ một diễn đàn đầu tiên.
     
    Chỉnh sửa cuối: 6 Tháng hai 2016
  2. Đang tải...
Trả lời qua Facebook
Đang tải...