Решено Тестирование на проникновение joomla3

listat

listat

Well-known member
22.05.2018
60
1
Как проще проникнуть в админку джумла 3? есть опыт у кого?
 
The Codeby

The Codeby

ООО Кодебай
30.12.2015
3 509
4 937
Набрать адрес админки: mysite.com/administrator/index.php
Ввести логин и пароль
 
qwerty_man

qwerty_man

Green Team
11.04.2019
35
61
а если ты ее не помнишь?

тхт с доступами утерял
Нелегальный способ - брут, скан расширений с последующей эксплуатацией уязвимости. Если легально и есть доступ к mysql - то в базе нужно найти таблицу префикс_users, выбрать нужного пользователя, в поле password написать новый пароль, тип поля выбрать MD5 (ну или заранее вставить туда что-либо в md5), сохранить и можно заходить.
 
listat

listat

Well-known member
22.05.2018
60
1
Да нет
Нелегальный способ - брут, скан расширений с последующей эксплуатацией уязвимости. Если легально и есть доступ к mysql - то в базе нужно найти таблицу префикс_users, выбрать нужного пользователя, в поле password написать новый пароль, тип поля выбрать MD5 (ну или заранее вставить туда что-либо в md5), сохранить и можно заходить.
ни цего все в доге. Брутить?
 
qwerty_man

qwerty_man

Green Team
11.04.2019
35
61
Да нет

ни цего все в доге. Брутить?
Joomla достаточно выросла в плане безопасности со времен 1.5 и 2. Уже не все так просто.

В порядке возрастания по сложности (на мой взгляд):
1) Брут (получится, если нет какого-нибудь компонента типа BruteForceStop и стоит легкий пароль);
2) Найти CVE в расширении или в ядре, если неактуальная версия Joomla (можно поискать );
3) Получить доступ к почте юзера и сбросить пароль;
4) Найти брешь в настройках, ну например, возможность заливки чего-либо через формы;
5) Найти уязвимость на сервере. Если это shared-хостинг, то может через какого другого юзера найти точку входа.
 
listat

listat

Well-known member
22.05.2018
60
1
там beget.com хост

у меня парот, как лучше доступ получить?

Joomla достаточно выросла в плане безопасности со времен 1.5 и 2. Уже не все так просто.

В порядке возрастания по сложности (на мой взгляд):
1) Брут (получится, если нет какого-нибудь компонента типа BruteForceStop и стоит легкий пароль);
2) Найти CVE в расширении или в ядре, если неактуальная версия Joomla (можно поискать );
3) Получить доступ к почте юзера и сбросить пароль;
4) Найти брешь в настройках, ну например, возможность заливки чего-либо через формы;
5) Найти уязвимость на сервере. Если это shared-хостинг, то может через какого другого юзера найти точку входа.
новичок с парот
 
Мы в соцсетях: