Здравствуйте Гость ( Вход | Регистрация ) | Выслать повторно письмо для активации |
zaxa |
Отправлено: Jun 7 2008, 10:01 PM
|
Солдат Группа: Members Сообщений: 4 Пользователь №: 1250 Регистрация: 27-November 07 |
Сразу задам вопрос потом расскажу что предпринято и в чём собственно траблы.
Имею полный доступ к файлам и базе сайта, как сбить админовский пароль на даннео и получить доступ к админке? Угораздило админить сайт с установленной CMS Danneo 0.5, предыдущий админ не оставил никаких паролей. От хозяина был получен только логин и пасворд в панель управления хостингом. Мои действия: 1. пытаюсь попасть в админку: http://сайт/apanel/ естественно получаю банан =), а точнее приглашение апача ввести логин и пароль. 2. редактирую файл .htpasswd, вставляю туда своего юзера со своим хешем, две минуты делов. 3. опять пробую, апач пропускает, далее получаю страницу авторизации самой Данео. 4. лезу в базу, попутно понимаю, что пароля к базе нет... 5. через ПУ ставлю свой пароль на базу, сайт падает =) 6. правлю конфиги, ставлю новый пароль, старый забываю сохранить (дурень), всё завелось, работает... 7. лезу в базу, нахожу похожую по смыслу таблицу: *_admin, смотрю содержимое - ага, то что надо. генерю свой хеш вставляю, в строку где adlog=admin (одна там строка всего), и тут начинается самое интересное... 8. пытаюсь авторизоваться, не получается, редеректит на login.php, НО! интересный факт, сессии создаются, т.е. в таблице *_admin_sess появляются новые записи соответствующие, как я понимаю, новой сессии. Правильно вводишь пароль - добавляется, непарвильно - не добавляется. Т.е. сам процесс авторизации отрабатывает настолько насколько я его понимаю =) Делаю выводы: хэш сгенерём мной верно, вставлен куда следует... Что делаю не так? Мож упускаю чего? плиз хелп, это мой первй опыт работы с даннео. |
Vader |
Отправлено: Jun 7 2008, 10:07 PM
|
Команда ЭйсВэб Группа: Super moderator Сообщений: 745 Пользователь №: 1047 Регистрация: 22-July 07 |
Вероятно, система хранит где-то контрольное поле. Например, оно содержит md5_хэш(логин_админа.хэш_пароля). Из-за этого и не пускает. А вообще лучше спросить на форуме самой CMS.
-------------------- Бесплатный хостинг на базе DirectAdmin и Cpanel. --- Единственный разумный способ жить в этом мире — это жить без правил. © Джокер |