10.08.2010, 03:17
|
|
Участник форума
Регистрация: 27.07.2010
Сообщений: 195
С нами:
8312726
Репутация:
7
|
|
Сообщение от Gorev
я же тебе сказал продолжай крутить.крутить скулю значит что ты уже нашел багу и в процесе раскручивания уязвимости у тебя появляется надпись "hacking attempt"..это означает что там стоит какой нить фильтр..и тебе прийдется его обойти.....
Спаасибо
|
|
|
10.08.2010, 03:50
|
|
Новичок
Регистрация: 11.07.2009
Сообщений: 3
С нами:
8860452
Репутация:
0
|
|
del...
|
|
|
|
10.08.2010, 14:54
|
|
Новичок
Регистрация: 31.07.2010
Сообщений: 8
С нами:
8306966
Репутация:
0
|
|
Созрело еще несколько вопросов и просьба:
Просьба:
Кто-нибудь может поделится шеллами r57 eleckt edition и r57 antichat edition? Очень хочется попробовать их в действии, но все ссылки, которые я находил, были либо со стремых азиатских и буржуйских сайтов, либо просрочены в файлообменниках. Желательно, чтобы шеллы были не закодированы.
Вопросы:
1. Бывают такие ситуации, когда веб шелл работает с правами apache или nobody, а большинство файлов (тот же index.php) принадлежат доругому пользователю(чаще всего его название созвучно с доменным именем сайта), и права на запись установлены только для этого пользователя. В этих ситуациях есть способы правки индекса, кроме получения рута на серваке?
2. Почему вообще веб шеллы на разных сайтах принадлежат различным пользователям? Просто раньше думал, что залитый вебшелл(на любой сайт) всегда будет иметь права apache, и все файлы в папке сайта будут тоже иметь права apache и с легкостью редактироваться.
3. FTP аккаунт владельца сайта(если я его добуду) какие будет иметь права? Тоже на разных сайтах разные?
4. При подключении к порту который я забиндил или же при подключении через бекконнект к атакуемому серверу, какие у меня будут права? Такие же как и у веб шелла? Какие это вообще дает преимущества, кроме потенциальной возможности запуска эксплоита с целью повышения прав?
Извиняйте, если вопросы, которые я задаю, являются банальными или уже не раз обсуждались. Я честно искал ответы в гугле, но так ничего и не нашел.
|
|
|
|
10.08.2010, 17:54
|
|
Познавший АНТИЧАТ
Регистрация: 15.01.2008
Сообщений: 1,166
С нами:
9642449
Репутация:
606
|
|
Сообщение от manmerritt0
1. Бывают такие ситуации, когда веб шелл работает с правами apache или nobody, а большинство файлов (тот же index.php) принадлежат доругому пользователю(чаще всего его название созвучно с доменным именем сайта), и права на запись установлены только для этого пользователя. В этих ситуациях есть способы правки индекса, кроме получения рута на серваке?
Получить права владельца файлов, например через ftp или ssh.
Сообщение от None
2. Почему вообще веб шеллы на разных сайтах принадлежат различным пользователям? Просто раньше думал, что залитый вебшелл(на любой сайт) всегда будет иметь права apache, и все файлы в папке сайта будут тоже иметь права apache и с легкостью редактироваться.
Права apache(nobody,www,www-data и т.д.) только на серверах, где ServerApi Apache. Иначе, скрипты запускаются от пользователя сайта и принадлежат все файлы в папке сайта пользователю - это при Server Api CGI\FCGI
Сообщение от None
3. FTP аккаунт владельца сайта(если я его добуду) какие будет иметь права? Тоже на разных сайтах разные?
Как правило, пользователя(владельца сайта)
|
|
|
|
10.08.2010, 19:23
|
|
Участник форума
Регистрация: 27.07.2010
Сообщений: 195
С нами:
8312726
Репутация:
7
|
|
Помогите, есть ли какой-нибудь рабочий софт для поиска админки на сайте?
|
|
|
|
10.08.2010, 19:29
|
|
Новичок
Регистрация: 21.02.2009
Сообщений: 3
С нами:
9061916
Репутация:
0
|
|
Сообщение от legaljo
Помогите, есть ли какой-нибудь рабочий софт для поиска админки на сайте?
IntelliTamper - сканер директорий.
Reiluke AdminFinder - ищет админку, по средствам брута всех возможных адресов.
|
|
|
|
11.08.2010, 01:07
|
|
Познающий
Регистрация: 05.07.2010
Сообщений: 54
С нами:
8344406
Репутация:
0
|
|
http://site.ru/text.php?page='
Сообщение от None
Warning: mysql_fetch_array(): supplied argument is not a valid MySQL result resource in /home/soup/public_html/site.ru/text.php on line 32
Если это инъекция ,возможно ли как-то извлечь данные? |
|
|
|
11.08.2010, 01:12
|
|
Новичок
Регистрация: 21.02.2009
Сообщений: 3
С нами:
9061916
Репутация:
0
|
|
Сообщение от QDef
http://site.ru/text.php?page='
Если это инъекция ,возможно ли как-то извлечь данные?
возможно, но только с линком)
|
|
|
|
11.08.2010, 01:18
|
|
Познающий
Регистрация: 26.05.2010
Сообщений: 40
С нами:
8402028
Репутация:
2
|
|
Сообщение от legaljo
Помогите, есть ли какой-нибудь рабочий софт для поиска админки на сайте?
ArxScanSite - пользую эту!
|
|
|
|
11.08.2010, 01:20
|
|
Постоянный
Регистрация: 22.05.2009
Сообщений: 514
С нами:
8932646
Репутация:
133
|
|
вот в режиме онлайн http://fiascowines.ca/images/gallery/scan.php?
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Похожие темы
Комбинированный вид
