 |
|
04.02.2019, 19:41
|
|
Новичок
Регистрация: 03.06.2010
Сообщений: 21
С нами:
8389843
Репутация:
0
|
|
Если зайти в phpmyadmin по логину pma
то в БД пустая таблица
вопрос...
если расширить права то появится еще таблица?
|
|
|
04.02.2019, 19:47
|
|
Участник форума
Регистрация: 30.12.2016
Сообщений: 218
С нами:
4931606
Репутация:
138
|
|
Сообщение от rudi
↑
Если зайти в phpmyadmin по логину pma
то в БД пустая таблица
вопрос...
если расширить права то появится еще таблица?
Нет.
И просто про термины, в данном случае доступна БД с названием phpmyadmin, в которой нет таблиц.
БД test - тоже пуста.
Из под обеих учеток (pma или my) решение одинаковое.
БД вордпресса лежит на этом же сервере, но этим двум учеткам недоступна, наверное это хотел спросить.
Но ты уже сам писал по этому поводу.
Наверное будет полезным вкурить тему о привилегиях и правах .
|
|
|
|
05.02.2019, 15:52
|
|
Новичок
Регистрация: 12.11.2018
Сообщений: 8
С нами:
3949526
Репутация:
6
|
|
done очень долго мучился, хотя в самом начале видел источник решения, но пропустиль
|
|
|
|
05.02.2019, 20:32
|
|
Новичок
Регистрация: 06.11.2018
Сообщений: 21
С нами:
3958166
Репутация:
58
|
|
к обычному словарю после одного из тасков на рутми прибавляю постфиксы. Возможно, кому-то будет полезен список, а кто-то добавит что-то свое)
".backup",".bck",".old",".save",".bak",".sav","~", ".copy",".old",".orig",".tmp",".txt",".back",".bkp ",".bac",".tar",".gz",".tar.gz",".zip",".rar"
|
|
|
|
06.02.2019, 00:18
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
Сообщение от Franky_T
↑
к обычному словарю после одного из тасков на рутми прибавляю постфиксы. Возможно, кому-то будет полезен список, а кто-то добавит что-то свое)
".backup",".bck",".old",".save",".bak",".sav","~", ".copy",".old",".orig",".tmp",".txt",".back",".bkp ",".bac",".tar",".gz",".tar.gz",".zip",".rar"
вот этим часто пользуюсь https://github.com/Ekzorcist/pentest...ckup_fuzzer.py , неплохая штука, генерит список
.SpoilerTarget" type="button">Spoiler
Код:
~/quest/backup-fuzzer$ python backup_fuzzer.py -nd -cs index.php | wc -l
360
~/quest/backup-fuzzer$ python backup_fuzzer.py -nd -cs index.php | head
Index
Index.swp
Index.bak
Index.tar.bz2
Index.tgz
Index.tar.gz
Index.rar
Index.7z
Index.tmp
Index.old
~/quest/backup-fuzzer$ python backup_fuzzer.py -nd -cs index.php | tail
.INDEX.php.tar.gz
.INDEX.php.rar
.INDEX.php.7z
.INDEX.php.tmp
.INDEX.php.old
.INDEX.php.0
.INDEX.php.1
.INDEX.php.2
.INDEX.php.zip
.INDEX.php~
потом этот список можно расчехлить чем то вроде
Код:
~/quest/backup-fuzzer$ python backup_fuzzer.py -nd -cs index.php > for-fuzz
~/quest/backup-fuzzer$ cat backup_find.pl
#!/usr/bin/perl
open(F,"for-fuzz");
while()
{
$file = $_;
chomp($file);
$res = `curl -s 'http://site.com/$file' -I | grep 200`;
if($res)
{
print "found - $file\n";
}
}
если сайт конечно отдаёт адекватные коды ответа на несуществующие страницы
по хорошему бы ещё в фазер добавить расширения вида .phpOLD .phpBCK .phpBACKUP .php_1 php_2 / etc
|
|
|
|
06.02.2019, 06:50
|
|
Участник форума
Регистрация: 23.03.2017
Сообщений: 265
С нами:
4812086
Репутация:
119
|
|
Сообщение от t0ma5
↑
если сайт конечно отдаёт адекватные коды ответа на несуществующие страницы
Так кто-ж в 2019 году чекает по 200 OK на true\false?
По этой причине я не юзаю многие известные сканнеры. ИМХО чекать надо по отдаваемому размеру контента, а там уже шаманить с вероятностью отталкиваясь от цифр.
Бывали случаи нахождения админки, и прочих файлов которые нарочно выдавали 404, при этом на сайте корректно работали заголовки 200\404.
|
|
|
|
07.02.2019, 01:03
|
|
Постоянный
Регистрация: 05.12.2004
Сообщений: 647
С нами:
11278406
Репутация:
818
|
|
по поводу фазинга прошу скидывать всю инфу в тему у меня в подписи, как прилечу наведу порядок. Фазинг сила.
|
|
|
|
08.02.2019, 01:30
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
Сообщение от Gorbachev
↑
Так кто-ж в 2019 году чекает по 200 OK на true\false?
По этой причине я не юзаю многие известные сканнеры. ИМХО чекать надо по отдаваемому размеру контента, а там уже шаманить с вероятностью отталкиваясь от цифр.
Бывали случаи нахождения админки, и прочих файлов которые нарочно выдавали 404, при этом на сайте корректно работали заголовки 200\404.
ахах я чекаю и спустя 10 лет буду чекать. слово "чекер" увидел тригер сработал)? сколько сайтов видел где разраб настолько глуп чтобы оставлять бекапные файлы и настраивать какую то логику запросов чтобы они не читались? я пока не одного
вообще я просто скинул два скрипта, как и где их использовать это дело каждого
если человек сразу запускает брутер, то это не человек, а обезьяна, как минимум должен быть минимальный обзор, что за технологии юзает сайт, шаред это или вдс, часовой пояс. это банальный минимум
|
|
|
|
08.02.2019, 01:48
|
|
Познавший АНТИЧАТ
Регистрация: 09.05.2015
Сообщений: 1,066
С нами:
5797046
Репутация:
40
|
|
Сообщение от t0ma5
↑
ахах я чекаю
и спустя 10 лет буду чекать. слово "чекер" увидел тригер сработал)? сколько сайтов видел где разраб настолько глуп чтобы оставлять бекапные файлы и настраивать какую то логику запросов чтобы они не читались? я пока не одного
вообще я просто скинул два скрипта, как и где их использовать это дело каждого
если человек сразу запускает брутер, то это не человек, а обезьяна, как минимум должен быть минимальный обзор, что за технологии юзает сайт, шаред это или вдс, часовой пояс. это банальный минимум
Это ЦТФ парень
|
|
|
|
08.02.2019, 01:53
|
|
Постоянный
Регистрация: 10.02.2012
Сообщений: 830
С нами:
7502006
Репутация:
90
|
|
ну и херово, ктф развивают навыки, убивают мышление
-- если только ими заниматься, против навыков я не имею ничего против
|
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
