Injeksi lewat SUPPORT TICKET WHMCS


Status
Not open for further replies.
indoc0der

indoc0der

Apprentice 1.0
cpserv said:
Dengan segala respek saya.. CG tolong dihapus script sourcenya. biar ga dipakai orang lain buat "coba2"..


on topic : selama udah di patch pake patch yg bulan desember ga bakal kenapa2.. saran dari matt whmcs masukin ini di dalem /whmcs/folder/includes/hooks/filenamanyabebas.php

PHP: 
<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>

buat yg merasa terganggu sama ticket2 itu..
Click to expand...

makasih infonya. btw linknya untuk solvingnya di mana ya?
 
PusatHosting

PusatHosting

Hosting Guru
code sudah disensor.

cpserv said:
PHP: 
<?php
$checkvars = array('subject','message');
foreach ($checkvars AS $checkvar) if (strpos($_REQUEST[$checkvar],'{php}')!==false) die("no thanks");
?>
Click to expand...
Confirmed, it's works.

ini memanfaatkan tag {php} smarty untuk generate file yang parah ditempat saya dia mau generate file db didapet dari configuration.php

saya cari2 di WHMCS itu file configuration.php bisa di custom tdk ya? diganti dengan nama lain
 
cpserv

cpserv

Expert 1.0
PusatHosting said:
saya cari2 di WHMCS itu file configuration.php bisa di custom tdk ya? diganti dengan nama lain
Click to expand...

yg diganti apanya yah pakde? isi si configuration.php atau si "configuration.php" itu sendiri? klo nama "configuration.php" sendiri harus di decrypt dulu whmcs-nya :D gatau menyalahi aturan mereka atau ngga, yg jelas ethically menyalahi aturan nurani. :p






ps: klo saya sih bodo amat hahahaha buktinya mereka ng-encrypt semua sourcenya kita yg jadi "kebobolan" kena inject sana sini.
 
PusatHosting

PusatHosting

Hosting Guru
cpserv said:
yg diganti apanya yah pakde? isi si configuration.php atau si "configuration.php" itu sendiri? klo nama "configuration.php" sendiri harus di decrypt dulu whmcs-nya :D gatau menyalahi aturan mereka atau ngga, yg jelas ethically menyalahi aturan nurani. :p

ps: klo saya sih bodo amat hahahaha buktinya mereka ng-encrypt semua sourcenya kita yg jadi "kebobolan" kena inject sana sini.
Click to expand...

configuration.php ngga di enkrip bos, itu kan file setting dbnya.
saya cuman pingin ganti nama filenya, misalnya dari configuration.php ke settingan.php atau apa lah, tapi sepertinya ngga bisa karena semua source untuk include configuration.php di enkrip.
 
cpserv

cpserv

Expert 1.0
iya maksud saya nama configuration.php ganti jadi ngasal.php gitu kan? nah "core"nya yg manggil configuration.php itu yg di encrypt. saya lupa file apa aja yg manggil si configuration.php ini.. kemungkinan lain yg bisa jadi masalah itu urusan licensing. license key ditaronya disana. :(
 
hostingceria

hostingceria

Active Member
minggu lalu saya juga kena praktek shell berbasis base64 ini di tiket, sekitar 3-5 tiket, yang injeksi dari IP indo, kalau ga salah pakai three, yah mirip praktek script kiddies, untungnya ga berhasil
 
Wien Dk

Wien Dk

Apprentice 1.0
budiono said:
oh gitu ya mbak wien, dengan diletakkan di public_html pengaruhnya ke apanya ya mbak?
Click to expand...

kasihan amat gue dipanggil mbk :'(

itukan script nya bila mengupload ke server tidak akan ke buka lewat browser, kan under public_html..

@cpservd thanks inpoh nya mas
 
Status
Not open for further replies.

Top