Strict Standards: Resource ID#18 used as offset, casting to integer (18) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#23 used as offset, casting to integer (23) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#25 used as offset, casting to integer (25) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401

Strict Standards: Resource ID#26 used as offset, casting to integer (26) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/fm.class.php on line 401
ТвойWeb :: Vbulletin кто юзает помогите!
ТвойWeb ТвойWeb
Качественный Европейский хостинг
 Форум для чайников
 Чат на форуме      Помощь      Поиск      Пользователи


 Страниц (2): [1] 2 »   

> Без описания
Поиск в теме | Версия для печати
Axel Breitung
Отправлено: 16 Декабря, 2008 - 14:52:37
Post Id



ExBB Team


Покинул форум
Сообщений всего: 313
Дата рег-ции: Авг. 2008  

Карма 0




 Ребят, вот такое дело. Есть огромадное подозрение, что на одном таком форуме (вобле) нечистый на руку админ сделал так, что пароли пользователей сохраняются не в хэшированом виде, а в открытом, или же сохраняется в хэшированном, но пароль становится доступен админу (для дальнейших личных и нехороших целей). По идее такое сделать можно давольно легко зная php, а вот как можно копнуть, чтобы разоблачить?
Очень надеюсь на вашу помощь! Растерялся
 
 Top
Furax
Отправлено: 16 Декабря, 2008 - 22:07:03
Post Id



Бледнотик


Покинул форум
Сообщений всего: 1472
Дата рег-ции: Март 2007  
Откуда: Иркутск, Сибирь, СССР

Карма 32




 Да, имея доступ к скриптам форума, пароли юзеров получить легко. Однако, имея доступ к файлам форума и базе данных, можно и без этих паролей делать всё, что надо.

Разоблачить? Разве что поискать эти пароли у него на компе или поймать на слове, где будет видно, что он читал переписку юзеров...
 
 Top
Axel Breitung
Отправлено: 17 Декабря, 2008 - 05:58:30
Post Id



ExBB Team


Покинул форум
Сообщений всего: 313
Дата рег-ции: Авг. 2008  

Карма 0
Furax пишет:
поймать на слове, где будет видно, что он читал переписку юзеров..


А причем переписка и пароли? Что общего? ПРосто переписка то какраз есть, только он заявляет, что это ему переслали письмо (в чем я сомниваюсь).

Furax пишет:
Однако, имея доступ к файлам форума и базе данных, можно и без этих паролей делать всё, что надо.


Да но имея пароль юзера, а 90% юзеров пользуют один пароль на все...
Я думал, что, например, скачав какойнить register.php можно будет что-нибудь разглядеть...
 
 Top
Furax
Отправлено: 17 Декабря, 2008 - 08:11:16
Post Id



Бледнотик


Покинул форум
Сообщений всего: 1472
Дата рег-ции: Март 2007  
Откуда: Иркутск, Сибирь, СССР

Карма 32
Axel Breitung пишет:
Я думал, что, например, скачав какойнить register.php можно будет что-нибудь разглядеть...
Что значит "скачав"? У Тебя доступ по FTP? Тогда, разумеется, можно внимательнейшим образом покурить те скрипты, где вводится пароль - регистрации и входа. Но если такого доступа нет - вряд ли модифицированный файл выдаст содержимое, отличное от оригинального. Разве что попробовать поискать на сервере "подозрительные" файлы вроде passwords.txt, users.txt и т. п., в которые сыпятся пароли, но вероятность угадать имя, сам понимаешь, никакая.

Axel Breitung пишет:
А причем переписка и пароли? Что общего?
Я имею в виду: поймать на слове, когда он знает что-то, чего не должен...
 
 Top
Axel Breitung
Отправлено: 17 Декабря, 2008 - 08:35:01
Post Id



ExBB Team


Покинул форум
Сообщений всего: 313
Дата рег-ции: Авг. 2008  

Карма 0
Furax пишет:
Что значит "скачав"?


Мда... Он оказывается модифицирует пхп в нтмл даже когда напрямую хочешь скачать, а не выполнить Огорчение

Furax пишет:
Разве что попробовать поискать на сервере "подозрительные" файлы вроде passwords.txt, users.txt и т. п., в которые сыпятся пароли, но вероятность угадать имя, сам понимаешь, никакая.


остается только шелл, но взламывать я и не собираюсь... Блин знаю же точно, что ворует пароли, а как доказать Нахмурился

Furax пишет:
Я имею в виду: поймать на слове, когда он знает что-то, чего не должен...


Да такого валом, но естественно легко "спрыгнуть"...
Может прогой типа "телепорта" скачать целиком форум со всем содержимым сайта? У себя на компе разбирать будет проще Радость
 
 Top
Furax
Отправлено: 17 Декабря, 2008 - 09:22:12
Post Id



Бледнотик


Покинул форум
Сообщений всего: 1472
Дата рег-ции: Март 2007  
Откуда: Иркутск, Сибирь, СССР

Карма 32




 Но оригиналы скриптов Ты никаким способом не вытянешь, если сервер правильно настроен...
 
 Top
Axel Breitung
Отправлено: 17 Декабря, 2008 - 09:47:11
Post Id



ExBB Team


Покинул форум
Сообщений всего: 313
Дата рег-ции: Авг. 2008  

Карма 0




 Ну мне достаточно файла в котором пароли юзеров в открытом виде, будь то текстовик со списком или профиль юзера где пароль не в хэше, а в открытом виде...
Чтото попробовал телепортом покачть свой форум - нифига нормального не скачалось...

Чем можно так аккуратненько скачать все файлы лежащие на сервере? Пусть не пхп, главное чтоб можно было вычитать там "пароль - имя юзера". С этим уже можно админа на кол сажать.

И если можно краткую инструкцию, а то чтото у меня башка уже вабще не варит Однако

(Отредактировано автором: 17 Декабря, 2008 - 09:49:02)
 
 Top
St.A.N.
Отправлено: 17 Декабря, 2008 - 10:07:07
Post Id



Super-Puper Member


Покинул форум
Сообщений всего: 1901
Дата рег-ции: Май 2004  
Откуда: КОМИ г.Печора

Карма 2
Axel Breitung пишет:
вычитать там "пароль - имя юзера". С этим уже можно админа на кол сажать.

Или.... использовать самому. Закатив глазки
 
 Top
Axel Breitung
Отправлено: 17 Декабря, 2008 - 10:14:02
Post Id



ExBB Team


Покинул форум
Сообщений всего: 313
Дата рег-ции: Авг. 2008  

Карма 0
St.A.N. пишет:
Или.... использовать самому


Да нет, мне это не нужно, а вот вывести на чистую воду того админа, ОЧЕНЬ нужно. Мне ведь совсем не обязательно файлик с паролями, мне достаточно найти скрипт который на ЕГО форуме сохраняет пароли в открытом виде... А потом это дело продемонстрировать в определенных кругах, но если это нереально (или почти нереально), то тогда файлик
Так кто-нибудь сможет подсказать чем и как можно сохранит все файлы с сервера?

(Отредактировано автором: 17 Декабря, 2008 - 10:14:55)
 
 Top
Furax
Отправлено: 17 Декабря, 2008 - 10:33:52
Post Id



Бледнотик


Покинул форум
Сообщений всего: 1472
Дата рег-ции: Март 2007  
Откуда: Иркутск, Сибирь, СССР

Карма 32




 Axel Breitung
Все файлы с сервера, имея доступ только по HTTP, Ты не получишь - получишь лишь те, на которые есть ссылки, а на файлик с паролями, буде таковой имеется, такой ссылки наверняка нет.
 
 Top
Поиск в теме | Версия для печати
Страниц (2): [1] 2 »
Сейчас эту тему просматривают: 1 (гостей: 1, зарегистрированных: 0, скрытых: 0)
« Форумы »


Все гости форума могут просматривать этот раздел.
Только администраторы и модераторы могут создавать новые темы в этом разделе.
Только администраторы и модераторы могут отвечать на сообщения в этом разделе.
  



Форум на AlfaSpace.NET


Powered by ExBB
ExBB FM 1.0 RC1 by TvoyWeb.ru
InvisionExBB Style converted by Markus®
[Script Execution time: 0.0314]     [ Gzipped ]



Notice: ob_end_flush(): failed to send buffer of ob_gzhandler (1) in /home/tvoyweb/domains/tvoyweb.ru/public_html/forums/include/page_tail.php on line 33