Вопрос по joomla

Доброго времени суток

Парни помогите мне )))

Вот вообщем что произошло:

7-м XSpider нашел FTP на которой висели 4-ре сайта. успел слить 1-н сайт до того как меня обнаружили...

этот сайт написан на бесплатной CMS - joomla lavra edition -вроде так ишется (сорри за ошибки =) )

базу слить не смог но я обнаружил папочку с "phpmyamin" на сайте она обзывается по другому...

phpmyadmin запаролена ((( но так как он у меня полностью есть подскажите в каком файле хранится пароль на вход в phpmyadmin?

И подскажите что можно сделать из этого сайта? как можно воспользоватся этими файлами? что из них можно узнать?

ЗЫ: спасибо что выслушали

 

в папке phpmyamin файл config.inc.php
только причем здесь джумла?

 

Чет или я обшился или незнаю че такое, не могу найти (

вот файл:

PHP:

<?php
/*
 * Generated configuration file
 * Generated by: phpMyAdmin 2.11.2.2 setup script by Michal ДЊihaЕ™ <[email protected]>
 * Version: $Id: setup.php 10748 2007-10-10 07:30:59Z cybot_tm $
 * Date: Fri, 30 Nov 2007 16:42:39 GMT
 */

/* Servers configuration */
$i = 0;

/* Server localhost (cookie) [1] */
$i++;
$cfg['Servers'][$i]['host'] = 'localhost';
$cfg['Servers'][$i]['extension'] = 'mysql';
$cfg['Servers'][$i]['connect_type'] = 'tcp';
$cfg['Servers'][$i]['compress'] = false;
$cfg['Servers'][$i]['auth_type'] = 'cookie';

/* End of servers configuration */

$cfg['blowfish_secret'] = '47503c93b28b13.57361481';
$cfg['LeftFrameLight'] = true;
$cfg['LeftFrameDBTree'] = true;
$cfg['LeftFrameDBSeparator'] = '_';
$cfg['LeftFrameTableSeparator'] = '__';
$cfg['LeftFrameTableLevel'] = 1;
$cfg['LeftDisplayLogo'] = false;
$cfg['LeftDisplayServers'] = false;
$cfg['DisplayServersList'] = false;
$cfg['DisplayDatabasesList'] = 'auto';
$cfg['LeftPointerEnable'] = true;
$cfg['DefaultTabServer'] = 'server_processlist.php';
$cfg['DefaultTabDatabase'] = 'db_structure.php';
$cfg['DefaultTabTable'] = 'tbl_structure.php';
$cfg['LightTabs'] = true;
$cfg['AllowAnywhereRecoding'] = false;
$cfg['DefaultCharset'] = 'windows-1251';
$cfg['RecodingEngine'] = 'auto';
$cfg['IconvExtraParams'] = '//TRANSLIT';
$cfg['QueryHistoryDB'] = true;
$cfg['QueryHistoryMax'] = 25;
$cfg['BrowseMIME'] = true;
$cfg['PDFDefaultPageSize'] = 'A4';
?>

как причем? я вот и хочу спросить можно чаво нить из файлов joomla выташить интересного? может пас какойнить или еще чаво нить?

 

Пароль реально вытащить из конфигов, но там пароль будет только от БД, а он врятли тебе поможет ибо в 90% случаев коннект к БД пройдет только с локал хоста. А пароли как раз там и храняца

 

в пхпма три вида авторизации - через бэсик (.htaccess), через логин-пасс к бд и через логин пасс в мускуле в таблах типа pma_**

 

2 *.exe
намёк на то что если вбить логин:пасс для подключения к бд то ты скорее всего авторизируешься

 

ну так это понятно что если найти логин с пасом то можно будет законектится к БД...

вот только где их можно достать?

у меня слитый сайт написанный на Joomla и phpMyAdmin 2.11.2.2

Вот я и спрашиваю можно откуда нить из конфигов их достать? в config.inc.php из phpmyadmin паса с логином как я понимаю нету ((( где еще он может хранится?
А в joomla где хранится пасс конекта к БД ? может он подойдет?

 

они вроде как в базе

 

Будем мыслить логически: чтобы phpmyadmin и joomla могли законектится к БД им необходим пароль и логин от БД, а пароль и логин должны хранится гдето в конфигах. тока где ХЗ ((( <--- или я не рав?

 

в джумле configuration.php

 

ок спс щас гляну

 

я тут глянул и нашел такую строчку в файле configuration.php

PHP:

$mosConfig_password = '***пасс***';

это как я понимаю пасс для конекта к бд? )

PHP:

$mosConfig_user = '***user***';

а это логин ? )

 

Code:

/* Database Settings */
var $dbtype = 'mysql';
var $host = 'localhost';
var $user = 'admin';           // Логин
var $password = '12345';  // Пасс
var $db = 'joomla';             // Бд
var $dbprefix = 'jos_';

 

а есть уязвимости на саму лавру едишн?

 

в паблике нету

 

файл
configuration.php
$mosConfig_db = имя БД
$mosConfig_user = юзер от БД
$mosConfig_password = пас от БД
$mosConfig_host = адрес(обычно localhost и домтуп мона получить тока локально)

 

если пасс к баде нащёл, то вбей запрос:
UPDATE `jos_users`
SET password='21232f297a57a5a743894a0e4a801fc3'
WHERE id = 62;
и к админке пароль будет admin