Нажмите CTRL-D чтобы добавить нас в закладки
HackZone.RU - Получение прав на изменение файлов на сервере Актуальные базы 2GIS в форматах CSV,Excel,SQL
Войти / Регистрация / Участники
Определение даты выпуска iPhone по серийному номеру
-
Поиск по сайту
Форумы



Реклама

Взлом и безопасность / Новичкам RSS подписка на сообщения с форума Subscribe Модераторы: RenGO, Bb0y, Leo08, B3JIoMep, BRUNOTTI, Virous, xssmailcom
Для тех, кто не знаете с чего начать. Темы "Хочу стать хакером" удаляются, авторам предупреждение ибо читайте раздел "Статьи"

Новая тема Наиболее обсуждаемые темы Наиболее посещаемые темы
Поиск 
Период
Перейти

Просмотров - 1984
Получение прав на изменение файлов на сервере
Добавить этот топик в закладки »
RSS-лента ответов »Subscribe
mardoksp


Novice
# | Сообщение добавлено 01.04.2017 00:32:24
Доброй ночи!
Залил шелл на сайт. Просмотрел все файлы. Доступ к бд есть, пассы в sha1. К админке не могу подобраться через httpasswd доступ. Надо подбирать пасс.
На изменение нужных файлов нет прав. У юзера mysql тоже нет прав, поэтому запрос
Text
SELECT '<?php phpinfo();?>' INTO OUTFILE '/home/httpd/vhosts/site/htdocs/select.php';
не отрабатывает.
 
Каким образом можно изменить нужные файлы? Допустим в папке изменить template либо в index подключить свой js?
 
Добавлено 01.04.2017 15:28:47 (через 1 день 15 часов 56 минут 23 секунды )
 
Никак не могу понять...
Вот генератор пароля
PHP
srand((double)microtime()*1000000);
$id = md5(rand());
$pass = crypt(substr($id,0,7));
$id = substr($id,7,15);
 
    $file = @fopen ("$BaseCfg[BaseDataDir]/.htaccess", "w");
    @fwrite($file, "AuthName Community-Center\nAuthType Basic\nAuthUserFile $BaseCfg[BaseDir]/data/.htpasswd\nrequire valid-user");
    @fclose($file);
    $file = @fopen (PHP_INCLUDE_PATH."/inc/.htaccess", "w");
    @fwrite($file, "AuthName Community-Center\nAuthType Basic\nAuthUserFile $BaseCfg[BaseDir]/data/.htpasswd\nrequire valid-user");
    @fclose($file);
    $file = @fopen (PHP_INCLUDE_PATH."/templates/.htaccess", "w");
    @fwrite($file, "AuthName Community-Center\nAuthType Basic\nAuthUserFile $BaseCfg[BaseDir]/data/.htpasswd\nrequire valid-user");
    @fclose($file);
    $file = @fopen ("$BaseCfg[BaseDir]/backup/.htaccess", "w");
    @fwrite($file, "AuthName Community-Center\nAuthType Basic\nAuthUserFile $BaseCfg[BaseDir]/data/.htpasswd\nrequire valid-user");
    @fclose($file);
    $file = @fopen ("$BaseCfg[BaseDataDir]/.htpasswd", "w");
    @fwrite($file, "1");
    @fclose($file);
    $file = @fopen ("$BaseCfg[BaseDataDir]/.htpasswd", "w");
    @fwrite($file, "$id:$pass");
    @fclose($file);
    @unlink("$BaseCfg[BaseDataDir]/configtmp/cc$BaseCfg[bid]config.php");
 
@error_reporting(0);
Генерируется id и pass и пишется в htpasswd, но как админы сайты его знают и входят в эту директорию? Дальше нигде эти данные не пишутся, в бд нет данных.
Просто генерируются и записываются в htpasswd, вроде как каждый день.
ПОдменил куки и вошел под админом в акк. Но в папку не пускает.
Каким образом админы входят, это же на уровне апача проверка, но есть только хэш, а данные нигде не пишутся, откуда они тогда знают?
 
Добавлено 02.04.2017 03:17:02 (через 12 часов 48 минут 15 секунд )
 
сбрутил, но все ровно не пустило в папку, но нашел скрытую админку и через неё буду пробовать тестить :)
Сказать спасибо Ответить Цитировать


Только зарегистрированные пользователи могут оставлять сообщения в форуме

Зарегистрироваться *** Авторизоваться

 Последние новости и статьи  Последние сообщения с форумов
  • Самозащита от вируса Petya
  • Google Pixel взломали за 60 секунд
  • В CMS Joomla обнаружена критическая 0-day уязвимость
  • ФБР не смогло взломать протокол шифрования переписки террористов ...
  • Полиция обыскала дом предполагаемого создателя платежной системы ...
  • Google: квантовый ПК будет в 100 млн раз быстрее стандартных чипо...
  • "Лаборатория Касперского" констатирует усиление атак кибергруппир...
  • Microsoft Edge откроет исходные коды ChakraCore
  • Anonymous объявили 11 декабря «днём троллинга» ИГИЛ
  • Миллионы телевизоров, смартфонов и маршрутизаторов оказались уязв...

    Все новости... Все статьи... Прислать новость RSS
  • Интернет / Разное » SOCKS 4/5, HTTPS прокси сервис - proxybuy
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Ищу работу » Re: Взлом емейлов, вконтакте, одноклассники
  • Разное / Ищу работу » Re: Взлом почты mail.ru, yandex.ru, rambler, gmail
  • Разное / Ищу работу » Re: Качественный подбор паролей к почтам. Работаем с 2011 го...
  • Разное / Ищу работу » Re: Взлом ВКонтакте на заказ. Взлом почты на заказ.
  • Программирование / WEB Design » Уроки по JavaScript для начинающих
  • Разное / Ищу работу » Re: Прогон 7ым XRumerоm по форумам, блогам, гостевым. ru и e...
  • Разное / Ищу работу » Re: взлом почты на майле
  • Разное / Предложения работы » Нужен способ заработка, майнинга

    Все форумы... RSS


  • Разместить рекламу
    © HackZone Ltd. 2007-2012. Все права зарегистрированы.
    Перепечатка материалов без согласования и указания источника будет преследоваться по Закону

    О проекте | История проекта | Размещение рекламы | Обратная связь | Правила поведения на портале
    Ya-Cyt службы мониторинга серверов

    #{title}

    #{text}

    x

    #{title}

    #{text}