Есть доступ к сайту.Возможно ли создав юзвера(phpBB), повысить ему права до админа? |
30.11.2004, 18:32
|
|
Новичок
Регистрация: 29.11.2004
Сообщений: 6
С нами:
11287715
Репутация:
0
|
|
Есть доступ к сайту.Возможно ли создав юзвера(phpBB), повысить ему права до админа?
Вот хотел бы задать такой вопрос, если уже есть полный доступ к сайту, уже ревью залит, уже базу читаем, уже прочитали таблицу с юзерами, например видим там около 1500 юзеров их пассы в мд5хеше, вот и вопрос: Если я создам юзера, как мне через шел повысить ему права до админа и вообще возможно ли это, я думал $query = "INSERT INTO users(параметры) VALUES (здесь переменные к параметрам)";
Тогда теоритически если я не ошибаюсь это создаст юзера, а в переменных для параметра user_level соответственно поставить '1', но на практике у меня нечего не вышло(( А можно ли редактировать юзеров которые уже в таблице, то есть менять им пароль или юзер_лвл повышать?
|
|
|
30.11.2004, 19:58
|
Регистрация: 29.05.2002
Сообщений: 1,793
С нами:
12604706
Репутация:
0
|
|
Я что-то не понял. Доступ в админку есть ? Если есть, то через админку админы и назначаются ...
|
|
|
|
03.12.2004, 00:18
|
|
Новичок
Регистрация: 29.11.2004
Сообщений: 6
С нами:
11287715
Репутация:
0
|
|
Дык чтоб был доступ в админку, нада зайти под админом, а чтоб зайти под админом нада расшифровать пароль в мд5хеше, вот и проблема, с расшифровкой пароля, вот и вопрос можно ли как нибудь избежать это, то есть создать юзера с правами или повысить права юзеру, что нибудь непосредственно из базы данных, или с помощью пхпревью, доступ на сайт полный, то есть что хочешь то и делай.
|
|
|
|
25.01.2006, 12:16
|
|
Новичок
Регистрация: 25.01.2006
Сообщений: 5
С нами:
10679543
Репутация:
2
|
|
Сообщение от :||
Дык чтоб был доступ в админку, нада зайти под админом
не обязательно;
если тебе повезло стырить куки после того, как админ заходил в адм.панель, то ты зайдёшь в админу с его куками и без пасса. (нашёл вчера, протестил на 2.0.19)
|
|
|
|
03.12.2004, 13:00
|
Регистрация: 29.05.2002
Сообщений: 1,793
С нами:
12604706
Репутация:
0
|
|
аа... я понял что ты имеешь ввиду...
Нет, так не получится. В принципе такое можно сделать, но только там, где админка совмещена с основным форумом или с персональным ящиком (тогда админу можно было бы послать скрипт, который бы сделал тебя админом), но в phpBB этого нет.
|
|
|
|
21.01.2006, 21:18
|
|
Новичок
Регистрация: 15.10.2005
Сообщений: 11
С нами:
10825989
Репутация:
1
|
|
почему, если можно выполнять любые sql команды то можно воспользоваться такой командой:
update phpbb_users set
user_level = "1" where user_id="и тут твой ид"
По сути команда должна пахать 
Говорю как программист |
|
|
|
22.01.2006, 00:10
|
|
Участник форума
Регистрация: 13.11.2005
Сообщений: 199
С нами:
10785229
Репутация:
75
|
|
Если есть хеш админа, то можно войти как админ.
|
|
|
|
22.01.2006, 01:01
|
|
Постоянный
Регистрация: 16.01.2005
Сообщений: 300
С нами:
11217926
Репутация:
726
|
|
Вот еслиб ты был админом то мог бы создать юзверя с админскими правами.
А так точно не могу ответить
|
|
|
|
22.01.2006, 02:31
|
|
Новичок
Регистрация: 31.12.2005
Сообщений: 5
С нами:
10714784
Репутация:
1
|
|
ребята есть хеш админа !!!так пусть он его сюда выложит а мы попытаемся его розшифровать......Тимболли если он имеет доступ к базе данных так пуст он в ней и поменяет прова созданого им юзера !!!
|
|
|
|
25.01.2006, 13:01
|
|
Познающий
Регистрация: 27.07.2005
Сообщений: 37
С нами:
10941186
Репутация:
5
|
|
Насколько я знаю пароли в phpbb шифруются в обычный md5.
Выбираешь в форуме юзера который долго не заходил на форум (чтоб не было притензий)
шифруешь свой пароль (любой, какой взбредёт в голову) в md5
вставляешь этот (свой пароль зашифрованый в md5) пароль вместо пароля юзера
и меняешь ему права доступа такие как у админа
P.S. такое должно прокатить если ты читаешь базу с помощью phpmyadmin
и у тебя хватает прав
|
|
|
|
|
 |
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
![Аватар для the[ugly]one](/avatars/avatar21748.jpg?103297){kind=avatar}
Комбинированный вид
