• Downloading from our site will require you to have a paid membership. Upgrade to a Premium Membership from 10$ a month today!

    Dont forget read our Rules! Also anyone caught Sharing this content will be banned. By using this site you are agreeing to our rules so read them. Saying I did not know is simply not an excuse! You have been warned.

Hướng dẫn fix bug sql injection mod music gift vbb

Admin

Well-Known Member
Staff member
Administrator
Vào AdminCP > Plugins & Products > Plugin Manager, sau đó kéo xuống và tìm đến Plugin của mod Music Gift.




Sửa plugin có hook là ajax_start, thêm vào đoạn đầu phần Plugin PHP Code hàm sau (hàm này có tác dụng lọc input của câu lệnh SQL):
PHP:
function anti_sql($sql) {$sql = str_replace(sql_regcase("/(from|select|insert|delete|where|drop table|show tables|#|*|--|\)/"),"",$sql);return trim(strip_tags(addslashes($sql))); #strtolower()}
Tiếp theo bạn nhấn Ctrl+F và nhập từ khóa:
PHP:
if($_POST['do'] == 'check_name')


Chúng ta sẽ lọc input tại đây, tốt nhất nên copy toàn bộ PHP Code ra một trình biên soạn cho dễ nhìn (mình dùng Notepad++):
02.PNG



03.PNG


Code gốc khi chưa lọc input:
PHP:
if($_POST['do'] == 'check_name') {         $vbulletin->input->clean_array_gpc('p', array(                                        'name'         => TYPE_STR)              );     $u = explode(',',$_POST['name']);                             $found = '';                              $lost = '';                             foreach($u as $v) {                             $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."user WHERE username = '".$v."'");                              if($m[userid] > 0) {$q = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."usergroup WHERE usergroupid = '".$m[usergroupid]."'");                                   $m[username] = $q[opentag].$m[username].$q[closetag];                                  $found = $found.$m[username].',';} else { $lost = $lost.$v.',';}                             }                                   $answer = '';                               if($found <> '') $answer = "Đã tìm được <b> ".$found."</b>.  Hệ thống sẽ gửi tin nhắn đến bạn ấy để thông báo về món quà của bạn.";     if($lost <> '') $answer = $answer."<br>Không tìm được <b><font color='red'>".$lost."</font></b> Nếu bạn gửi bài hát này đến tất cả mọi người, bạn không cần nhập tên chính xác.";       echo $answer;                     }
Chúng ta sửa thành như sau (sử dụng hàm Anti SQL ở trên để lọc input được người dùng nhập vào):
PHP:
if($_POST['do'] == 'check_name') {         $vbulletin->input->clean_array_gpc('p', array(                                        'name'         => TYPE_STR)              );     $_name = anti_sql($_POST['name']); // Clean Input     $u = explode(',',$_name);                             $found = '';                              $lost = '';                             foreach($u as $v) {                             $m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."user WHERE username = '".$v."'");                              if($m[userid] > 0) {$q = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."usergroup WHERE usergroupid = '".$m[usergroupid]."'");                                   $m[username] = $q[opentag].$m[username].$q[closetag];                                  $found = $found.$m[username].',';} else { $lost = $lost.$v.',';}                             }                                   $answer = '';                               if($found <> '') $answer = "Đã tìm được <b> ".$found."</b>.  Hệ thống sẽ gửi tin nhắn đến bạn ấy để thông báo về món quà của bạn.";     if($lost <> '') $answer = $answer."<br>Không tìm được <b><font color='red'>".$lost."</font></b> Nếu bạn gửi bài hát này đến tất cả mọi người, bạn không cần nhập tên chính xác.";       echo $answer;                     }



Các bạn Save lại và sửa tiếp Plugin có hook là misc_start, các bạn nhấn Ctrl+F và tìm dòng sau:
PHP:
$m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = " . $_GET['id']) . ";");
Thêm hàm addslashes để clean input:
PHP:
$m = $vbulletin->db->query_first("SELECT * FROM ". TABLE_PREFIX ."hqth_music WHERE id = '".addslashes($_GET['id'])."';");
Cuối cùng là Save.


Chúc các bạn thành công!


Tutorial by Juno_okyo - Juno_okyo's Blog.
Great thanks to Neods and James.



* Update: các bạn có thể dùng bộ lọc vBulletin đã có sẵn:





  • $db->escape_string($input)



Hoặc:




  • POST (Ví dụ $_POST['input_name']): $vbulletin->input->clean_gpc('p', 'input_name', TYPE_NOHTML)
  • GET (Ví dụ: $_GET['input_name']): $vbulletin->input->clean_gpc('g', 'input_name', TYPE_NOHTML)





 

Facebook Comments

Similar threads
Thread starter Title Forum Replies Date
Admin Hướng dẫn fix bug trên Xenforo 2.1.9 trở xuống và Xenforo 2.0.13 trở xuống Xenforo 0
PushKiss Hướng dẫn Fix bug like bài viết bang hội JohnCMS Johncms 0
C Hỏi Ai biết fix lỗi bug topic bang hội thì vào giúp mình. Johncms 0
Admin Lỗi SQLI nghiêm trọng của WHMCS 5.2.7 (cách bug và cách fix) Khác 0
Admin Hướng dẫn fix bug mod hide thank johncms part 2 Johncms 2
S Bug gold,chậu game kvvv nhanh kẻo fix Thủ thuật ĐTDĐ 0
Admin Bug chatbox changuondyu trên xenforo và cách fix Security - Local - Hacking 0
Admin Hướng dẫn Fix Bug Changuondyu Static An Toàn Và Hiệu Quả Nhất Khác 0
Admin Hướng dẫn Fix Bug Changuondyu Static Mod Vbb Mới Và Chuẩn Nhất Khác 1
Admin Cách fix bug XSS tại 1 số theme của wordpress Khác 0
Admin Bug Changuondyu Static Mod VBB và cách fix Security - Local - Hacking 3
Admin Share mod game sóc đĩa online bản fix bug đặt tiền cho johncms 4.4 Johncms 4
Admin Share games Sóc đĩa Online bản fix bug đặt tiền cho johncms 4.4 Johncms 0
Admin Hướng dẫn fix lỗi không vào được mạng laptop Masstel E140 Sử dụng, chia sẻ, hỏi đáp 0
Admin Hướng dẫn fix lỗi Communication Error cho máy in Canon LBP 2900, Canon LBP 3300 Windows 11 mới nhất - Fix Communication Error Canon 2900, Canon 3300 Windows 11 Sử dụng, chia sẻ, hỏi đáp 0
Admin Fix the "Access denied. You do not have enough rights to use this virtual machine" error message MacOS Sử dụng, chia sẻ, hỏi đáp 0
Admin Hướng dẫn fix lỗi GET GENUINE OFFICE Your license isn't genuine cho office thành công 100% Sử dụng, chia sẻ, hỏi đáp 0
nutevnn Help Nhờ hướng dẫn fix html trong PHP PHP 0
Admin Fix [E_WARNING] inet_pton(): Unrecognized address unknown xenforo 2.2.10 Xenforo 0
Admin Hướng dẫn gõ tiếng việt có dấu trên vba - Fix lỗi font tiếng việt excel vba Sử dụng, chia sẻ, hỏi đáp 0
Admin Hướng dẫn fix lỗi không xóa được bôi đen trong Word bằng phím Backspace - Backspace doesn't delete highlighted text word Sử dụng, chia sẻ, hỏi đáp 4
thaicutene Help ai đó hãy giúp fix cái Invalid IP Johncms 12
Admin Hướng dẫn fix lỗi No Internet trên Windows 10 20H2 Sử dụng, chia sẻ, hỏi đáp 0
Admin XenForo 2.1.12 Released (Security Fix) Xenforo 0
Admin XenForo 2.2.1 Released (Includes Security Fix) Xenforo 0
Admin Hướng dẫn fix noindex cho wordpress Wordpress 0
Admin Fix ErrorException: Template error: Illegal string offset 'width' with SEO 2 Xenforo 2 Xenforo 0
Admin Hướng dẫn fix màn hình đen black screen phần mềm OBS Studio trên Windows 10 Sử dụng, chia sẻ, hỏi đáp 0
Admin Hướng dẫn fix lỗi tắt kiếm tiền (TKT) lỗi quốc gia Ad Breaks Tut, tool, mmo 0
Admin Hướng dẫn fix lỗi đăng nhập từ iPhone đã ghép nối trên Watch OS 6.2.6 Điện thoại di động 0
Admin [ShikiSuen] Chinese HTML Lang Tag Fix Xenforo 0
Admin Hướng dẫn fix lỗi ABI mismatch xamarin forms Android, iOS 0
Admin Hướng dẫn fix lỗi The selected build configuration is using the shared Mono runtime for faster deployment Xamarin Forms Android, iOS 0
Admin Hướng dẫn fix lỗi WHPX is not configured khi dùng Visual Studio 2019 Android, ios, java, windows phone 0
Admin Hướng dẫn fix lỗi We couldn’t complete the updates, Undoing changes không vào được windows Hệ điều hành 0
Admin Hướng dẫn fix lỗi không hiện IP online xenforo - Fix don't display IP members online xenforo Xenforo 0
Admin Hướng dẫn sửa Oppo A3s và Realme C1 tắt nguồn bật không lên - How to fix A3s and Realme C1 turned off and brick Thủ thuật ĐTDĐ 0
Admin XenForo 2.0.11 Released (Security Fix) Xenforo 0
Admin Hướng dẫn fix lỗi xinput1_3.dll or d3dx9_43.dll is missing khi chơi PES 2017 - How to fix xinput1_3.dll or d3dx9_43.dll is missing simple Thủ thuật máy tính 0
Admin How to fix MySQL query error [1062]: Duplicate entry '***' for key 'expiry_date' xenforo 2 Xenforo 0
Admin How to fix XF\Db\Exception: MySQL query error [1932]: Table 'xf_phrase_map' doesn't exist Xenforo 0
Admin Hướng dẫn fix lỗi XSS trên Xenforo 2.0.9 - XenForo 2.0.9 Released (Security Fix) Xenforo 0
Admin Hướng dẫn fix lỗi Not enough memory RAM - An integer between 96 and 8 is required Thiết kế đồ họa 0
Admin Hướng dẫn fix lỗi /includes/vfchh/php/vfc_hide_core.php on line 163 mod vFCoders - Hide Hack v4 Vbb tutorial 0
Hong98 Hướng dẫn Cách fix lỗi thời gian chạy sai dạng Timeago All Shared Scripts 1
Admin Hướng dẫn fix lỗi android rung liên tục không ngừng ngày 31.12.2016 Android, iOS 0
SuperTroll Fix link code Xenforo 0
N Có ai biết fix lỗi invalid request trong vuivc.xyz không hỏi cái Trò chuyện linh tinh 0
congtukinhloai Ghoster WinXPSP3PROv2016.6.0 RC2 SATA Fix Win32k.sys Hệ điều hành 0
K Share AvatarQ 250 v8 Hỗ Trợ Event Fix Lỗi Crack, hack, mod, ghép game, ứng dụng 0

Similar threads

New posts New threads New resources

Back
Top