Cách Fix bug SQLI Mod vB4 Gift Music

Discussion in 'VHB Resource' started by Mickey, Dec 6, 2017.

  1. Mickey

    Mickey Hacking For Hacker Staff Member

    Cách Fix bug SQLI Mod vB4 Gift Music

    Bug này đã có exploit và bị khai thác triệt để nhưng vẫn chưa có ai đưa ra bản vá cho nó, hôm nay rảnh được chút thời gian nên mình làm cái tut cho oai chứ thật ra là đọc code và fix lỗi cho nó thôi kakaka.

    cách fix bug này:

    vào: Admincp -> Plugin & product option -> Plugin manage -> [HQTH]Music Gift -> [HQTH]Music Gift có hook misc_start -> edit (sửa) -> tìm dòng code dưới:
    PHP:
    if($_GET[id]) $m $vbulletin->db->query_first("SELECT * FROM "TABLE_PREFIX ."hqth_music WHERE id = $_GET[id] AND pulish = 1");
    Thay thế bằng dòng:

    PHP:
    if($_GET[id]) $m $vbulletin->db->query_first("SELECT * FROM "TABLE_PREFIX ."hqth_music WHERE id = '"stripslashes($_GET[id]) ."' AND pulish = 1");
    /*fixed by ccb*/
    Mod này mình thấy có nhiều bản được tùy biến lại nhưng vẫn dính lỗi và cách fix tương tự chỉ việc để ý chút xíu chỗ câu query và fix cho đúng cái Prefix của nó là được.

    PHP:

    ("SELECT * FROM "TABLE_PREFIX ."hqth_music WHERE id = $_GET[id] AND pulish = 1");
    thì thay bằng:
    (
    "SELECT * FROM "TABLE_PREFIX ."hqth_music WHERE id = '"stripslashes($_GET[id]) ."' AND pulish = 1");

    nguồn: concobe - VHB - huynhdegroup.net
     

Share This Page