Взлом Интернет Магазина

[dampil]

Я тут читал статейки на античате ин аткнулся на статью о взломе этого скрипта, если подать запрос

index.php?aux_page=cfg/connect.inc.php

и в месте где должен быть основной текст не написано что типа ну удалость найти страницу, то следует посмотреть исходный код и искать там строчки типа

define('DBMS', 'MYSQL'); // database system 
define('DB_HOST', 'localhost'); // database host 
define('DB_USER', 'cannabi7_'); // username 
define('DB_PASS', 'cworldthebest'); // password 
define('DB_NAME', 'cannabi7_shop'); // database name 
define('ADMIN_LOGIN', 'Spector'); //administrator's login

Ето слеовательно и есть пасс к базе и скорее всего он-же и подходит к самому сайту...а если после запроса будет типа неудалось найти файл, то значит взлом не удастся.....поиск таких сайтов можно осуществить в Гугле запросом

‘inurl:index.php?aux_page='

p.s. Лично я не нашёл ни одного такова сайта на которо были-бы кредитки....в основном это русские магазины...а у нас креды очень редко берут.....но сайтов с таким багом в среднем около 40 % всех Интернет магащинов поствроенных на данном движке.
p.s.s. Если что-то не так, то прошу помидорами не кидаться ). По материалам antichat.ru.

 

[durito]

а иногда хитрожопый админ кладет connect.inc.php в корень сервера:

http://shop.anastasia.ru/index.php?aux_page=connect.inc.php

но на каждую хитрую ж...shop'у найдется свой баг

 

[dampil]

Дык проблема в том, что чаще всего пасс от базы не подходит к админке..

 

[PriesT]

Да он прав чаще всего пасы разные, хотя это зависит и от тупости админа, помниться был один знакомый, работал в какомто е-маге, дак вот у него на всё был один пас из кажысь четырёх символов, самое странное что его никто не поимел %))

 

[Shrek]

Челы, зашел в админку на одном шопе. Че дальше? =)

 

[Winux]

Гляди раздел Orders. В нем вроде креды лежат.

 

[Shrek]

http://ukr-porno.com/ Все сюда, читайти добавленную мною новость =)

 

[Winux]

Для архива, если запалят и сотрут:

09.07.2005
9 июля - день, когда... когда ничего не случалось. А вот 9 июля 2005 года случилось... Админка ukr-porno.com попала в руки xShreKx. Я ничего не буду делать, я не разрушитель. Просто не понимаю, как можно продавать порно. Поэтому и пошалил чуток. Но так и быть, админ, меняй пасс на админку и живи, как за каменной стеной. Удачи.

Чтож ты там наш УРЛчик то не вписал? Ну лан, может порно закажешь всему демлебу?

 

[Shrek]

http://ukr-porno.com/index.php?categoryID=268 А так?

 

[TimON]

Я нашел сайт, зашел, только ничего не пойму что делать надо...

Как новость добавить?

Интересно, что если набрать admin.php, то пишет, что нет прав.

 

[Shrek]

Давай сайт, мы тебе подскажем =)
Ну ты в админку пытался подставить пассы от мускуля?

 

[TimON]

http://www.shopofcoins.ru/

еще какие-то были, но ща не вспомню, искал гуглем.

Пароли естественно подставлял и они подошли. Есть еще мысль, имея пароли к БД можно же при помощи какого-нть phpmyadmin править напрямую базу. Кстати во многих магазинах файлик заветный лежит в корне.

 

[Shrek]

Мне с ukr-porno.com админ написал... Вежливый такой. Я расчувствовался... Надо людям помагать. Все же секъюрети тим =)))))

TimON, вот я тоже про phpmyadmin подумал. В базах же можно креды грабить (В кардинге я 0, но вижу, что вам номера кред нужны =)) Да и хеши юзверов тоже там лежат....

 

[TimON]

Ты бы хоть за услугу попросил что-нть с этого админа, как говорится "спасибо в карман не положишь" ("спасибо не булькает"). Или получил но не поделился с сотоварищами

Кста, по моей ссылке кто-нть что-нть сделал?

Я сайты не ломал, но ради такого дела даже разобрался как выходить через анонимный прокси :diablo:

 

[TimON]

Короче есть результаты по поводу phpmyadmin: а именно, результатов нет никаких. При попытке подключиться база MySQL отвергла мое соединение, поговорил со своим хостером, оказалось, что у них разрешено подключение только через localhost. Соответственно можно предположить, что и у других хостеров аналогичная ситуация.

Решить проблему теоретически можно залив по фтп phpmyadmin, но надо чтоб эти данные подошли и туда. К сожалению по данному мной выше адресу подключиться получилось, но получил я только 2 файла и все. Т.е. можно считать, что ничего не получилось.

Можно искать новые и экспериментировать аналогично с ними.

 

[BUG(O)R]

Интересно, что если набрать admin.php, то пишет, что нет прав.

Да, это интересно... мож дисертацию напишешь по этому поводу? А лучше почитай статьи о правах доступа к файлам и своих правах...

 

[TimON]

Читать мне ничего не нужно, если считаеш себя самым умным, то вперед и барабан на шею. Я как-раз и сделал замечания по поводу ограничения доступа к файлу.

 

[xeal]

О как новости то по сети летят Кажеться совсем недавно пабликнул статейку на античате, а про эту багу уже полсети базарит. А автора никто и не вспоминает. Абидна!