Solo usuarios registrados pueden comentar y agradecer, Logueate o Registrate

Autor Topic: Cuidado con el template aportado "Royals"  (Visto 5362 veces)

0 Miembros and 1 Guest are viewing this topic.

Offline varela Posteado: February 03, 2019, 01:20:33 PM

  • 0 puntos por ventas
  • *
  • Rank: Usuario activo
  • Posts: 67
  • Gracias recibida: 16
  • ve
El template es este: http://tuservermu.com.ve/index.php?topic=13942.0

Y quiero decir cuidado, por que en el archivo de configuracion, tiene estas lineas:

Code: [Select]
$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'"); 

Como podemos ver , esa sentencia selecciona la contraseña de alguna cuenta.
Lo que me parece muy raro, por que un template va a tener una sentencia sql para obtener la contraseña de alguna cuenta del juego?

NOTA IMPORTANTE:
No estoy acusando al dueño del template aportado ni nada. SOlamente me parecio muy sospechosa esa linea, es lo unico que digo. No estoy haciedno acusaciones de ningun tipo.




Offline Deidad #1 Posteado: February 03, 2019, 03:54:03 PM

  • ESTAFADOR
  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 915
  • Gracias recibida: 1477
  • ve
seguro solo fue curiosidad xd


Offline Azzlaer #2 Posteado: February 04, 2019, 06:03:25 PM

  • MAESTRO

  • US. DE HONOR

  • Colaborador
  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 1.407
  • Gracias recibida: 23153
  • cl
Revise el codigo de ese template y no lo encontre en el index ... pasame mas detalles por favor y lo reviso.


Offline varela #3 Posteado: February 04, 2019, 06:35:46 PM

  • 0 puntos por ventas
  • *
  • Rank: Usuario activo
  • Posts: 67
  • Gracias recibida: 16
  • ve
Revise el codigo de ese template y no lo encontre en el index ... pasame mas detalles por favor y lo reviso.

esta en el archivo "icn.mu.php" , ahi esta!

Incluso el mismo autor del tema pone las lineas en un mensaje.




Offline Cartman #4 Posteado: February 04, 2019, 10:21:12 PM

  • Php Coder
  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 304
  • Gracias recibida: 11208
  • pe
Esas lineas son para verificar los datos de tu sql amigo , un ejemplo
para que configures tu mucore editas el archivo config.php con los datos de tu sql bien , en mi template royal tambien haces lo mismo editas  el archivo icn.mu.php con los datos sql para que funcione y no aparesca en blanco el template botando un error diciendo "Cannot connect to database" .
Psd : El codigo no recopila cuentas :D



Offline varela #5 Posteado: February 05, 2019, 02:58:50 PM

  • 0 puntos por ventas
  • *
  • Rank: Usuario activo
  • Posts: 67
  • Gracias recibida: 16
  • ve
Esas lineas son para verificar los datos de tu sql amigo , un ejemplo
para que configures tu mucore editas el archivo config.php con los datos de tu sql bien , en mi template royal tambien haces lo mismo editas  el archivo icn.mu.php con los datos sql para que funcione y no aparesca en blanco el template botando un error diciendo "Cannot connect to database" .
Psd : El codigo no recopila cuentas :D

Emmmm siquiera viste la linea que yo puse bro?
fijate la linea:

$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'");

hazla tu mismo en tu server pone SELECT memb__pwd FROM MEMB_INFO WHERE memb___id = 'cuenta' y vas a ver que te muestra la contraseña de la cuenta q pongas.

Mira si un archivo de configuracion te va a pedir eso jaja


Offline Cartman #6 Posteado: February 05, 2019, 05:27:50 PM

  • Php Coder
  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 304
  • Gracias recibida: 11208
  • pe
Esas lineas son para verificar los datos de tu sql amigo , un ejemplo
para que configures tu mucore editas el archivo config.php con los datos de tu sql bien , en mi template royal tambien haces lo mismo editas  el archivo icn.mu.php con los datos sql para que funcione y no aparesca en blanco el template botando un error diciendo "Cannot connect to database" .
Psd : El codigo no recopila cuentas :D

Emmmm siquiera viste la linea que yo puse bro?
fijate la linea:

$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'");

hazla tu mismo en tu server pone SELECT memb__pwd FROM MEMB_INFO WHERE memb___id = 'cuenta' y vas a ver que te muestra la contraseña de la cuenta q pongas.

Mira si un archivo de configuracion te va a pedir eso jaja

Como para cerrar el tema amigo , dime tu si has podido sacar alguna cuenta o vulberabilidad con este codigo , si tu respuesta es no entonces no tiene sentido tu post ^^..

Recomendación : Si no sabes cual es la funcion de un codigo mysql
busca en google para que sirve :D



Offline varela #7 Posteado: February 05, 2019, 05:43:44 PM

  • 0 puntos por ventas
  • *
  • Rank: Usuario activo
  • Posts: 67
  • Gracias recibida: 16
  • ve
Esas lineas son para verificar los datos de tu sql amigo , un ejemplo
para que configures tu mucore editas el archivo config.php con los datos de tu sql bien , en mi template royal tambien haces lo mismo editas  el archivo icn.mu.php con los datos sql para que funcione y no aparesca en blanco el template botando un error diciendo "Cannot connect to database" .
Psd : El codigo no recopila cuentas :D

Emmmm siquiera viste la linea que yo puse bro?
fijate la linea:

$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'");

hazla tu mismo en tu server pone SELECT memb__pwd FROM MEMB_INFO WHERE memb___id = 'cuenta' y vas a ver que te muestra la contraseña de la cuenta q pongas.

Mira si un archivo de configuracion te va a pedir eso jaja

Como para cerrar el tema amigo , dime tu si has podido sacar alguna cuenta o vulberabilidad con este codigo , si tu respuesta es no entonces no tiene sentido tu post ^^..

Recomendación : Si no sabes cual es la funcion de un codigo mysql
busca en google para que sirve :D

Yo no se si eres ciego o que.
Acaso no ves que dice SELECT memb__pwd ?? te lo resalte a ver si a si lo lees jajaja.
Igual ya se desvirtuo esto, no comentare mas.
Pero en fin, el que necesita usar google eres tu evidentemente.


Offline Cartman #8 Posteado: February 05, 2019, 06:56:42 PM

  • Php Coder
  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 304
  • Gracias recibida: 11208
  • pe
Esas lineas son para verificar los datos de tu sql amigo , un ejemplo
para que configures tu mucore editas el archivo config.php con los datos de tu sql bien , en mi template royal tambien haces lo mismo editas  el archivo icn.mu.php con los datos sql para que funcione y no aparesca en blanco el template botando un error diciendo "Cannot connect to database" .
Psd : El codigo no recopila cuentas :D

Emmmm siquiera viste la linea que yo puse bro?
fijate la linea:

$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'");

hazla tu mismo en tu server pone SELECT memb__pwd FROM MEMB_INFO WHERE memb___id = 'cuenta' y vas a ver que te muestra la contraseña de la cuenta q pongas.

Mira si un archivo de configuracion te va a pedir eso jaja

Como para cerrar el tema amigo , dime tu si has podido sacar alguna cuenta o vulberabilidad con este codigo , si tu respuesta es no entonces no tiene sentido tu post ^^..

Recomendación : Si no sabes cual es la funcion de un codigo mysql
busca en google para que sirve :D

Yo no se si eres ciego o que.
Acaso no ves que dice SELECT memb__pwd ?? te lo resalte a ver si a si lo lees jajaja.
Igual ya se desvirtuo esto, no comentare mas.
Pero en fin, el que necesita usar google eres tu evidentemente.

Mi pregunta va denuevo pudiste sacar alguna injeccion sql con el memb__pwd ??? si no es asi no entiendo donde esta tu vulnerabilidad insisto si no tienes conocimiento usa navegador google :D



Offline Thor Host #9 Posteado: February 05, 2019, 10:10:18 PM

  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 256
  • Gracias recibida: 1143
  • pe
Entonces yo tambien hare unas preguntas.


¿Porque la variable que almacena la ip y usuario, pass de la base de datos(ip, id y pass) se almacena en un archivo .txt?
Osea que puedes decir? esa variable "$on" esta imprimiendo algo no?


Esto tb para que es? osea estas seleccionando las contraseñas, pero no le veo que le des uso. Lo cual es curioso porque en tu index lo tienes protegido para que cualquier persona no pueda llegar a utilizar esa query, lo cual esta bien, pero no haría falta si en primer lugar no la tuvieras hecha.

no es la única cosa irregular que veo, osea en otra parte del template haces un sentencia que no tiene nada de raro en si, pero utilizas los datos de la base de datos grabados en el config.php de la mucore en si, entonces para que tienes un loggeo un aparte.

Yo no te estoy acusando de nada, pero al menos explica porque tu template tiene esas cosas.


Offline EmmaDCG #10 Posteado: February 05, 2019, 11:39:37 PM | Modificado: February 05, 2019, 11:41:32 PM by EmmaDCG

  • Colaborador
  • 0 puntos por ventas
  • *
  • *
  • Rank: Puto amo
  • Posts: 751
  • Gracias recibida: 13466
  • ve
Entonces yo tambien hare unas preguntas.

Spoiler for Hiden:
¿Porque la variable que almacena la ip y usuario, pass de la base de datos(ip, id y pass) se almacena en un archivo .txt?
Osea que puedes decir? esa variable "$on" esta imprimiendo algo no?

Spoiler for Hiden:
Esto tb para que es? osea estas seleccionando las contraseñas, pero no le veo que le des uso. Lo cual es curioso porque en tu index lo tienes protegido para que cualquier persona no pueda llegar a utilizar esa query, lo cual esta bien, pero no haría falta si en primer lugar no la tuvieras hecha.

no es la única cosa irregular que veo, osea en otra parte del template haces un sentencia que no tiene nada de raro en si, pero utilizas los datos de la base de datos grabados en el config.php de la mucore en si, entonces para que tienes un loggeo un aparte.

Yo no te estoy acusando de nada, pero al menos explica porque tu template tiene esas cosas.

Estoy viendo este post desde hace un par de dias, no habia comentado nada porque no soy del todo experto en php, pero analizando la consulta que hace en el Record Online y a su vez genera un archivo "record.txt" no es nada malo y ni muhco menos esta guardando Pass o ID, simplemente esta generando ese archivo para guardar informacion de la cantidad maxima de usuario que se ha conectado, es decir si la catidad de usuario conectados actualmente es mayor que la cantidad guardada en el registro de "record.txt" se generar un nuevo registro guardando dicho informacion para ser consultada

ejemplo
en la Web se verial algo asi:
Usuarios Online: 184        <---- usuario que estan conectado actualmente
Record de usuarios que se han conectado: 254       <---- la cantidad maxima de usuarios se conectaron

esa parte que mencionan no tiene nada de malo, lo que si no entieno es la parte

Code: [Select]
$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'"); 



Offline Thor Host #11 Posteado: February 05, 2019, 11:52:44 PM

  • 0 puntos por ventas
  • *
  • Rank: Puto amo
  • Posts: 256
  • Gracias recibida: 1143
  • pe
Entonces yo tambien hare unas preguntas.

Spoiler for Hiden:
¿Porque la variable que almacena la ip y usuario, pass de la base de datos(ip, id y pass) se almacena en un archivo .txt?
Osea que puedes decir? esa variable "$on" esta imprimiendo algo no?

Spoiler for Hiden:
Esto tb para que es? osea estas seleccionando las contraseñas, pero no le veo que le des uso. Lo cual es curioso porque en tu index lo tienes protegido para que cualquier persona no pueda llegar a utilizar esa query, lo cual esta bien, pero no haría falta si en primer lugar no la tuvieras hecha.

no es la única cosa irregular que veo, osea en otra parte del template haces un sentencia que no tiene nada de raro en si, pero utilizas los datos de la base de datos grabados en el config.php de la mucore en si, entonces para que tienes un loggeo un aparte.

Yo no te estoy acusando de nada, pero al menos explica porque tu template tiene esas cosas.

Estoy viendo este post desde hace un par de dias, no habia comentado nada porque no soy del todo experto en php, pero analizando la consulta que hace en el Record Online y a su vez genera un archivo "record.txt" no es nada malo y ni muhco menos esta guardando Pass o ID, simplemente esta generando ese archivo para guardar informacion de la cantidad maxima de usuario que se ha conectado, es decir si la catidad de usuario conectados actualmente es mayor que la cantidad guardada en el registro de "record.txt" se generar un nuevo registro guardando dicho informacion para ser consultada

ejemplo
en la Web se verial algo asi:
Usuarios Online: 184        <---- usuario que estan conectado actualmente
Record de usuarios que se han conectado: 254       <---- la cantidad maxima de usuarios se conectaron

esa parte que mencionan no tiene nada de malo, lo que si no entieno es la parte

Code: [Select]
$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'"); 

Tienes razón en que solo imprime el la cantidad maxima de usuarios en recort.txt, checandolo por segunda vez no tiene nada raro.

Tambien la parte de las contraseñas no tiene nada raro, solo no tiene sentido, porque te pide tener tu pass para seleccionar tu pass y en ninguna parte del template lo utiliza.

Creo que solo esta desordenado el template y ya.


Offline varela #12 Posteado: February 06, 2019, 12:01:32 PM

  • 0 puntos por ventas
  • *
  • Rank: Usuario activo
  • Posts: 67
  • Gracias recibida: 16
  • ve
Entonces yo tambien hare unas preguntas.

Spoiler for Hiden:
¿Porque la variable que almacena la ip y usuario, pass de la base de datos(ip, id y pass) se almacena en un archivo .txt?
Osea que puedes decir? esa variable "$on" esta imprimiendo algo no?

Spoiler for Hiden:
Esto tb para que es? osea estas seleccionando las contraseñas, pero no le veo que le des uso. Lo cual es curioso porque en tu index lo tienes protegido para que cualquier persona no pueda llegar a utilizar esa query, lo cual esta bien, pero no haría falta si en primer lugar no la tuvieras hecha.

no es la única cosa irregular que veo, osea en otra parte del template haces un sentencia que no tiene nada de raro en si, pero utilizas los datos de la base de datos grabados en el config.php de la mucore en si, entonces para que tienes un loggeo un aparte.

Yo no te estoy acusando de nada, pero al menos explica porque tu template tiene esas cosas.

Estoy viendo este post desde hace un par de dias, no habia comentado nada porque no soy del todo experto en php, pero analizando la consulta que hace en el Record Online y a su vez genera un archivo "record.txt" no es nada malo y ni muhco menos esta guardando Pass o ID, simplemente esta generando ese archivo para guardar informacion de la cantidad maxima de usuario que se ha conectado, es decir si la catidad de usuario conectados actualmente es mayor que la cantidad guardada en el registro de "record.txt" se generar un nuevo registro guardando dicho informacion para ser consultada

ejemplo
en la Web se verial algo asi:
Usuarios Online: 184        <---- usuario que estan conectado actualmente
Record de usuarios que se han conectado: 254       <---- la cantidad maxima de usuarios se conectaron

esa parte que mencionan no tiene nada de malo, lo que si no entieno es la parte

Code: [Select]
$ICN_sql_pw_check = mssql_query("SELECT memb__pwd FROM MEMB_INFO WHERE memb__pwd='$pw' and memb___id='$user'"); 

Tienes razón en que solo imprime el la cantidad maxima de usuarios en recort.txt, checandolo por segunda vez no tiene nada raro.

Tambien la parte de las contraseñas no tiene nada raro, solo no tiene sentido, porque te pide tener tu pass para seleccionar tu pass y en ninguna parte del template lo utiliza.

Creo que solo esta desordenado el template y ya.

vale, entonces simplemente son lineas añadidas pero que no tienen sentido.

Bueno, para eso era el posteo, para que los experimentados pudieran aclarar dudas sobre lineas "sospechosas".
Por eso en el post principal puse q no estaba acusando a nadie de nada, solamente era algo raro ver esas lineas.

En fin, se da como "solucionado" o "aclarado" este tema.

Gracias a todos!


Solo usuarios registrados pueden comentar y agradecer, Logueate o Registrate