• XSS.stack #1 – первый литературный журнал от юзеров форума

Поиск админки

Отслеживать
kosh_e4ka

kosh_e4ka

(L2) cache
Пользователь
Регистрация
29.10.2022
Сообщения
398
Реакции
146
Наткнуся на скулю в шопе, начал крутить - оказалось что хостится он на серваке где полно других шопов. Как я понимаю шоп этот писали ребята которые предоставляют услуги в сфере екоммерц и хостят всех клиентов на одной машине (когда начал дампить названия бд, появились 100+ бд других шопов). Есть данные персонала шопа, но никак не могу найти админку. Ни на поддоменах стандартных, ни на портах, пути тоже все перебрал стандартные. На сайте хоста нашел поддомен crm, но туда креды этого шопа не подходят.

Как я понимаю админка может распологаться где то в пути с навзанием допустим /7dsgfy/d8sgf/s87d7fg/admin или на поддомене вроде sdfg8ysfbd.*.com, но брутить такое не вариант. Каким способом не прибегая к бруту можно до админа добраться?
И верны ли мои догадки вообще? Есть бд хоста, но там таблицы не дампит. Куда мне копать?
 
И еще вопрос. Так же есть другой шоп. Путь нашел, админа нашел. Когда ввожу креды админа в панель предлагает логиниться либо под *персоналом* либо под *админом*. Когда выбираю персонал - все ок, входит в панель, но там просто пустота. Лишь одна кнопка Log Out и больше нихера. А когда выбираю вход под админа говорит креды неверны. Чозанах? В базе была ток 1 таблица с юзерами мейлами и пассами, больше нет. Есть еще cpanel у этого шопа но туда тоже креды неверны
 
kosh_e4ka сказал(а):
И еще вопрос. Так же есть другой шоп. Путь нашел, админа нашел. Когда ввожу креды админа в панель предлагает логиниться либо под *персоналом* либо под *админом*. Когда выбираю персонал - все ок, входит в панель, но там просто пустота. Лишь одна кнопка Log Out и больше нихера. А когда выбираю вход под админа говорит креды неверны. Чозанах? В базе была ток 1 таблица с юзерами мейлами и пассами, больше нет. Есть еще cpanel у этого шопа но туда тоже креды неверны
Значит прав нету под админом, смотри колонки что то по типу access_level там можно посмотреть права пользователей
 
k4rk4j0i сказал(а):
Значит прав нету под админом, смотри колонки что то по типу access_level там можно посмотреть права пользователей
Спасибо, но там такого не оказалось. Есть еще идеи?
 
добавь (если не делал) в базу еще одного админа и в новой записи уже поиграйся с правами
 
lisa99 сказал(а):
добавь (если не делал) в базу еще одного админа и в новой записи уже поиграйся с правами
спасибо, тоже идея хороша. как то сразу не пришло в голову
 
kosh_e4ka сказал(а):
Наткнуся на скулю в шопе, начал крутить -

Как я понимаю админка может распологаться где то в пути с навзанием допустим /7dsgfy/d8sgf/s87d7fg/admin или на поддомене вроде sdfg8ysfbd.*.com, но брутить такое не вариант. Каким способом не прибегая к бруту можно до админа добраться?

Ну здесь есть два варианта.
1.Урл админки генерируется рендомно\вбивается при инсталляции и хранится в БД
2. Задается в конфиге (файл в корне или соотв. директории). Например, как в мадженто

Идеально дойти бы до RFI, залить шелл и погулять по папкам в поиске конфига\инсталляционного архива. Если шопы продаются, то какой-то из двух подходов унифицирован.
И да, если шопы делаются на заказ, как бывает в зоне ру, то есть демо-версии, до которых можно добраться в качестве клиента.
 
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх