• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

mt & log web-читалка

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
AdminReaders - поделка для чтения mtstore.nsf и log.nsf из web.
Domino 9+ (на младших версиях не проверял, возможно 8.5+).
Доступ к соответствующим (mtstore.nsf и log.nsf) бд дожен быть хотябы на чтение.
Создать бд на сервере по приложенному шаблону, подписать админом.
ACL -> Anonymous -> No access.
Открыть бд в вебе, зайти в "stores" и создать соответствующие коннекты.
Все, можно читать.

AdminReaders - craft to read mtstore.nsf and log.nsf from web.
Domino 9+ (on previos versions did not check, maybe 8.5+).
Access to the corresponding databases (mtstore.nsf and log.nsf) should be read at least.
Create a database on the server according to the attached template, sign with the administrator.
ACL -> Anonymous -> No access.
Open a database on the web, go to "stores" and create the appropriate connections.
That's all, try to read.

version 0.44.0
++ back-end (ViewProcessor) use Domino-JNA (many thanks Karsten Lehmann)
++ expand all
++ response documents

AdminReaders.png

1574361175018.png

1574362362606.png
 

Вложения

  • tmpl_adminreaders_0_18_0.zip
    1,6 МБ · Просмотры: 414
  • tmpl_adminreaders_0_44_0.nsf.zip
    1,2 МБ · Просмотры: 332
Последнее редактирование:
  • Нравится
Реакции: NetWood, savl и alexas1

savl

Lotus Team
28.10.2011
2 597
310
BIT
159
@oshmianski что не работает, базу подписал, доступ дал, я без претензий, посмотреть хочется =)
mtstore на сервере нет, на лог доступ есть.
при открытии страницы вечный loading и потом ошибка :

fetchRequest api.fetch.catch Error: "Notes error: You are not authorized to perform that operation"
fetchPost .../AdminReaders.nsf/build/bundle.min.6a0cb5b3c76fa4245b06.js:12

Заработало, пару раз обновил и скорректировал ACL
 

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
Anonymous использовать нельзя, нужно авторизоваться.
Пользователь, под которым смотрите, должен иметь читательский доступ к нужным базам.
 

savl

Lotus Team
28.10.2011
2 597
310
BIT
159
Anonymous использовать нельзя, нужно авторизоваться.
Пользователь, под которым смотрите, должен иметь читательский доступ к нужным базам.
Да, как раз это и сделал.
А ее можно сделать более настраиваемой?
веб-логи смотреть там, свои базы логов?
Что в дизайне поменять можно/нужно?
 

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
А ее можно сделать более настраиваемой?
веб-логи смотреть там, свои базы логов?
Что в дизайне поменять можно/нужно?
Сейчас нет настроек, кроме коннекшенов (база+файл) двух типов.
Веб-логи вроде неплохо сделаны нативно.
Не устраивало нативное исполнение именно mt и log, поэтому родилась эта поделка.
Не было цели написать конструктор, но Ваша идея мне нравится. Я подумаю...
 

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
version 0.37.0

++
1) custom views (as simple as possible, without responses and custom icons)
2) note fields

1570452465783.png


1570452193207.png


1570452202120.png
 

Вложения

  • tmpl_adminreaders_0_37_0.zip
    1,1 МБ · Просмотры: 351
  • Нравится
Реакции: lmike и alexas1

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Не было цели написать конструктор, но Ваша идея мне нравится. Я подумаю...
в текущем варианте интересно
не нашел - как адрес другого (по отношению к базе) сервера указать в коннекторе, ни FQDN ни hostname ни server/OU не подходят
а есть что-то типа дизайн-гайда по допиливанию? ;) типа: формы прикрутить, кнопки с агентами....
 
Последнее редактирование:

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
структуру сервлета, сериализацию в JSON.... сам разрабатывал или откуда-то брал?
Не совсем понял вопрос.
WebStorm только для разработки тестирования фронта. Сервлеты пишутся в лотусовом дизайнере, все по-старому.
Фронт собирается в релиз в WebStorm и импортится в бд (nsf) черезе Import в дизайнере.
Создается новая копия nsf (design only) = новая версия шаблона. Его кладу в sources исходников фронта.
Git (на BitBucket приватный проект) использую для доступа к изменениям из разных мест.
 
Последнее редактирование:

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
не нашел - как адрес другого (по отношению к базе) сервера указать в коннекторе, ни FQDN ни hostname ни server/OU не подходят
Server/OU должно подойти, т.к. используется session.getDatabase (код back-end'а открыт, если что). Видимо, пользователь, под которым заходите в бд, не видит указываемого сервера или прав не хватает. А что кнопочка "Проверить доступ" возвращает? Кроме того попробуйте загрузить список представлений - по идее должна быть вменяемая ругань.

а есть что-то типа дизайн-гайда по допиливанию? ;) типа: формы прикрутить, кнопки с агентами....
Пока не думал над этим. Но Ваша идея мне нравится... )))
 
Последнее редактирование:

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
version 0.39.0

++

1) custom icons in views
2) edit column width in custom store

1570703530590.png


1570703539925.png
 

Вложения

  • tmpl_adminreaders_0_39_0.zip
    1,1 МБ · Просмотры: 339
  • Нравится
Реакции: lmike

lmike

нет, пердело совершенство
Lotus Team
27.08.2008
7 933
609
BIT
177
Server/OU должно подойти, т.к. используется session.getDatabase (код back-end'а открыт, если что). Видимо, пользователь, под которым заходите в бд, не видит указываемого сервера или прав не хватает. А что кнопочка "Проверить доступ" возвращает? Кроме того попробуйте загрузить список представлений - по идее должна быть вменяемая ругань.
это админ
1570718710030.png

если бд (tmpl_adminreaders_0_37_0.nsf) открою на dom1 - все будет норм, а если бд на разных серверах - просто такая ошибка
и еще - по RID не работает (Replica ID базы)

Создается новая копия nsf (design only) = новая версия шаблона. Его кладу в sources исходников фронта.
ODP?
Сервлеты пишутся в лотусовом дизайнере, все по-старому.
сама структура - что именно так сделано: набор классов и взаимосвязь между ними - это чисто твоя идея или был вдохновляющий ресурс? Это к тому - что, допустим что-то захочется доработать, но не хочется нарушать принятую стр-ру и правила...
 
Последнее редактирование:

oshmianski

Достойный программист
Lotus Team
25.04.2012
711
59
BIT
2
если бд (tmpl_adminreaders_0_37_0.nsf) открою на dom1 - все будет норм, а если бд на разных серверах - просто такая ошибка
Странно. А как кнопка загрузки представлений ругается?
1570727570846.png


сама структура - что именно так сделано: набор классов и взаимосвязь между ними - это чисто твоя идея или был вдохновляющий ресурс? Это к тому - что, допустим что-то захочется доработать, но не хочется нарушать принятую стр-ру и правила...
Идея сервлетов . Но пути хардкодятся, поэтому нужно править в Build path для двух подключенных jar'ников.
Что касается структуры пакетов, классов и связей - чистый самопал. Как-то так сложилось со временем. Идеи по оптимизации приветсвуются.

Не срослось. Честно пытался, прикручивал плагин для обрезания мета-данных, терял исходники - плюнул. Просто nsf архивирую и кладу в js проект как файл.
1570728309068.png
 
Последнее редактирование:
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!