ANTICHAT — форум по информационной безопасности, OSINT и технологиям
ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию.
Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club,
и теперь снова доступен на новом адресе —
forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
 |
30.08.2015, 10:39
|
|
Новичок
Регистрация: 30.08.2015
Сообщений: 4
Провел на форуме:
1341
Репутация:
0
|
|
Последнюю неделю пытаюсь проковырять админку на сайте с вордпрессом.
Сканер (wpscan) заявил что там дофига дыр (sql, xss), собственно моя дурная голова не давала покоя рукам и я безуспешно пытался разобраться в прогах типа BSQL и SQLmap, вышло нифига.
Плюнув на это бесполезное занятие скачал kali, и через metasploit пытался использовать показанные сканером дырки. пытался безуспешно. в настройках надо указывать не доменное имя а айпишник сервера на котором сайт. беда в том, что (как показал domainsdb.net) там ещё 22 сайта захощено (при том все одинаковые, только имена разные О_о ). подумал, что надо получить абсолютный путь к нужному сайту, получил через одну дырку обнаруженную тем же wpscan`ом, а вот использовать, фиг. то ли это всё nic.ru защищает, то ли я просто криворукий (думаю, второе ) но любой запрос по типу ай.пи.сервака/абсолютный/путь/имя_сайта/ давал 404.
Собственно в чём вопрос. знающие люди, направьте на путь истинный, посоветуйте как мне быть. |
|
|
30.08.2015, 11:14
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
29
Репутация:
0
|
|
Так а в чем собственно вопрос? Вы читали какую то литературу?
|
|
|
|
30.08.2015, 11:19
|
|
Новичок
Регистрация: 30.08.2015
Сообщений: 4
Провел на форуме:
1341
Репутация:
0
|
|
Сообщение от ocheretko
↑
Так а в чем собственно вопрос? Вы читали какую то литературу?
литература.. ну если считать англоязычные форумы литературой, то да. читал про sql в общих чертах. в вашем форуме тоже много интересных статей нашёл, вся беда в недостатке опыта. не хочется пользоваться инструкциями типа: сделай то, впиши такую команду, сделай ещё кучу непонятных для тебя действий..
даже тот же bsql проит точку инжектирования в post запросе, а я даже не знаю, как его правильно составить.
собственно я в тупике, нужно каким то образом получить доступ до админки. metasploit хочет прямой путь до сайта, bsql хочет правильно составленный запрос, xss не умею правильно использовать. нет никаких идей, что делать дальше.
|
|
|
|
30.08.2015, 14:21
|
|
Новичок
Регистрация: 15.05.2010
Сообщений: 0
Провел на форуме:
29
Репутация:
0
|
|
Ну все логично. Если Вы не умеете составить post запрос, тогда почитайте и разберитесь, что такое post запросы. Зачем перепрыгивать
|
|
|
|
30.08.2015, 14:58
|
|
Новичок
Регистрация: 30.08.2015
Сообщений: 4
Провел на форуме:
1341
Репутация:
0
|
|
а затем, что мне не совсем это нужно. bsql староват будет.
|
|
|
|
30.08.2015, 15:50
|
|
Участник форума
Регистрация: 19.05.2015
Сообщений: 117
Провел на форуме:
25535
Репутация:
22
|
|
koala, нет времени объяснять - поставь мне лайк!
|
|
|
|
30.08.2015, 16:59
|
|
Новичок
Регистрация: 30.08.2015
Сообщений: 4
Провел на форуме:
1341
Репутация:
0
|
|
Сообщение от private_static
↑
не нужно никакого абсолютного пути
set RHOST ip_сервера
set VHOST тут_домен
спасибо, видимо я не правильно понял значение required
.SpoilerTarget" type="button">Spoiler: консолька
|
|
|
|
|
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Линейный вид
