[ 1.9 ] Раскрытие логина и пароля админа

+34
11.22K
Храните свой пароль от админке за семью замками в трех программах? Думаете его никто не узнает?
На самом деле это не уязвимость и без доступа к файловой системе это бесполезно, но все же… лучше закрыть :)
Версия 1.10 данного недостатка не имеет, а вот 1.9 и ниже — стоит озаботится.


И так, что имеем. У нас есть файл admin\applets\config.php

400 строка имеет следующий код

  1.  
  2. <tr>
  3. <td>
  4. <strong>SMTP пользователь:</strong>
  5. </td>
  6. <td width="350">
  7. <?php if(!isset($_CFG['smtpuser'])) { $_CFG['smtpuser'] = ''; } ?>
  8. <input name="smtpuser" type="text" id="smtpuser" value="<?php echo @$_CFG['smtpuser'];?>" style="width:350px" />
  9. </td>
  10. </tr>
  11. <tr>
  12. <td>
  13. <strong>SMTP пароль:</strong>
  14. </td>
  15. <td width="350">
  16. <?php if(!isset($_CFG['smtppass'])) { $_CFG['smtppass'] = ''; } ?>
  17. <input name="smtppass" type="password" id="smtppass" value="<?php echo @$_CFG['smtppass'];?>" style="width:350px" />
  18. </td>
  19. </tr>
  20.  
  21.  
Как мы видим, здесь два инпута, один на пароль, а другой на логин. И что тут такого. спросит пытливый читатель? А вот что ответит нам наш config.inc.php :

  1.  
  2. $_CFG['db_prefix'] = 'cms';
  3. $_CFG['show_pw'] = 1;
  4. $_CFG['short_pw'] = 0;
  5. $_CFG['index_pw'] = 0;
  6. $_CFG['fastcfg'] = 1;
  7. $_CFG['mailer'] = 'mail';
  8. $_CFG['sendmail'] = '/usr/sbin/sendmail';
  9. $_CFG['smtpauth'] = 0;
  10.  
  11. $_CFG['smtpuser'] = 'admin';
  12. $_CFG['smtppass'] = '123admin123';
  13.  
  14. $_CFG['smtphost'] = 'localhost';
  15. $_CFG['timezone'] = 'Europe/Moscow';
  16. $_CFG['timediff'] = '';
  17. $_CFG['allow_ip'] = '';
  18. ?>
  19.  
Ой… паролики от админки :)

Многие броузеры в которых включено автоматическое заполнение форм, распознают эти два инпута как логин и пароль и автоматически подставляют туда ваш логин и пароль от сайта… и при сохранении конфига сохраняют.

что бы избавится от этого, достаточно добавить к инпутам autocomplete="off"

вот так

  1.  
  2. <tr>
  3. <td>
  4. <strong>SMTP пользователь:</strong>
  5. </td>
  6. <td width="350">
  7. <?php if(!isset($_CFG['smtpuser'])) { $_CFG['smtpuser'] = ''; } ?>
  8. <input name="smtpuser" autocomplete="off" type="text" id="smtpuser" value="<?php echo @$_CFG['smtpuser'];?>" style="width:350px" />
  9. </td>
  10. </tr>
  11. <tr>
  12. <td>
  13. <strong>SMTP пароль:</strong>
  14. </td>
  15. <td width="350">
  16. <?php if(!isset($_CFG['smtppass'])) { $_CFG['smtppass'] = ''; } ?>
  17. <input name="smtppass" autocomplete="off" type="password" id="smtppass" value="<?php echo @$_CFG['smtppass'];?>" style="width:350px" />
  18. </td>
  19. </tr>
  20.  
  21.  
Это не уязвимость и никак не может быть использовано против вас. Если у злоумышленника есть доступ к фтп или он проник на ваш хостинг через шелл, его в меньше степени интересует ваш пароль к админке. Но все же есть в жизни ситуации когда дается доступ по фтп и хочется сохранить анонимность. И вообще, как говорила старуха статистика — у 90% юзеров, пароли везде одинаковые.
+3
Saw Saw 11 лет назад #
Ещё один повод перейти на 1.10
+3
picaboo picaboo 11 лет назад #
зачем? просто Файрфокс, скотина, зачем то сохраняет пароли от админки, маленький хак и больше сохранять не будет.
0
My-InstantCMS.Ru My-InstantCMS.Ru 11 лет назад #
Извините я все ровно не понял, если зайти Админка-Настройки-почта и написать туда логин и пароль от SMTP то в config.inc.php будет отображаться пароль от админки или что?
0
WALTERZ WALTERZ 11 лет назад #
Повод не в этом, а в том что 1.9 уязвим.
+3
eoleg eoleg 11 лет назад #
+
но это ведь от почты на отправку логин и пароль а не от сайта,
админский логин и пароль в базе в зашифрованном виде и если запрещено удаленное подключение к базе то от сайта не упрут.
+2
picaboo picaboo 11 лет назад #
не. это именно от сайта, поскольку автозаполнение видя эти поля автоматом подставляет туда пароль и логин от сайта. проверьте у себя. особенно этим грешит файрфокс, если включено автозаполнение, то 100% инфа сохранена в конфиге.
0
My-InstantCMS.Ru My-InstantCMS.Ru 11 лет назад #
Бред какой то
+2
picaboo picaboo 11 лет назад #
может и бред, но вот тут вот парни реально переживают по этому поводу http://forum.searchengines.ru/showthread.php?t=766988 :)
+2
picaboo picaboo 11 лет назад #
forum.searchengines.ru/showthread.php?t=766988 парсер режет ссылку :(
+2
reload reload 11 лет назад #
школьники - вот и переживают)
смысл от админки? даже логи не почистишь))
+4
picaboo picaboo 11 лет назад #
о! а можно мне тогда пароли от админки сайтега какого ни будь, желательно по пиаристее и с тицем. посижу, ссылочек в старые статьи потыкаю, да и вообще есть еще разные задумки как провести время с пользой smile заодно проверю не подходит ли этот пароль к вашей електропочте, аккаунту здесь на сайте, вконтактегу, ну и тд.
+2
reload reload 11 лет назад #
нет толка, логи сохраняются, пиаристые все мониторят.
Доступ в админки получить к многим сайтам можно - но так как смысла мало, то просто продают доступы мало соображающим)
Доступ к фтп это уже что-то! а админка, если нормальная (как в инстанте) смысла нет) имхо...
0
lokanaft lokanaft 11 лет назад #
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
0
picaboo picaboo 11 лет назад #
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
+2
reload reload 11 лет назад #
reload:
а можно мне тогда пароли от админки сайтега какого ни будь
как уже заметили - продают сотнями и тысячами - проблем нет!)
продают и будут продавать) был бы смысл)
чел который получил пароли не совсем глуп чтоб не заюзать в своих интересах! как видите - выгодней продать!)
+3
picaboo picaboo 11 лет назад #
Может останемся при своих тогда? как говорят у вас в Одессе, я имею вам сказать пару слов:)) но не здесь и не сейчас.
+3
reload reload 11 лет назад #
да я и не настаивал изменять ваше мнение) высказывал свои наблюдения - у нас в Одессе иначе не говорят)))
""
+3
Дмитрий Дмитрий 11 лет назад #
Что-то я не понял, как злоумышленник получит доступ к файлу из веба (про фтп понятно)?
ACCESS DENIED
+3
Дмитрий Дмитрий 11 лет назад #
Более того, записи имеют такие значения:
$_CFG['smtpuser'] = '';
$_CFG['smtppass'] = '';
0
picaboo picaboo 11 лет назад #
Повезло, автозаполнение отключено или до этой вкладки в админке не доходили.
0
Дмитрий Дмитрий 11 лет назад #
Автозаполнение как раз включено и ФФ.
+2
Игорь Филиппов Игорь Филиппов 11 лет назад #
))))
picaboo:
Если у злоумышленника есть доступ к фтп
C вами весело! Спасибо)))
+1
Игорь Филиппов Игорь Филиппов 11 лет назад #
Все плюсанул
+1
lezginka.ru lezginka.ru 11 лет назад #
чего-то не догнал, цитирую:
нет толка, логи сохраняются, пиаристые все мониторят. Доступ в админки получить к многим сайтам можно - но так как смысла мало, то просто продают доступы мало соображающим) Доступ к фтп это уже что-то! а админка, если нормальная (как в инстанте) смысла нет) имхо...
как это ???
если хакер получает доступ в админку, он там такое натворит, что лучше ты не выражаться(за не-цезуру в бан можно попасть) или вы про какую админку речь ведете ?
0
eoleg eoleg 11 лет назад #
я думаю имеется в виду что через админку можно только ссылок навставлять, модули и компоненты поотключать но все уничтожить нельзя
0
picaboo picaboo 11 лет назад #
Группе, к которой вы принадлежите, запрещено просматривать этот скрытый текст
0
Игорь Филиппов Игорь Филиппов 11 лет назад #
Имя доступ к файлам через ftp можно можно понапихать скриптом, считающие данные вода и много другого, на что хватит фантазии
0
Игорь Филиппов Игорь Филиппов 11 лет назад #
кому нужны пароли, если есть доступ через ftp
0
r2 r2 11 лет назад #
вынес первый и последний абзац из под хайда (хотя вообще не понимаю зачем он тут)
0
picaboo picaboo 11 лет назад #
убрал тогда вообще.
+1
Эдька Эдька 11 лет назад #
а я просто отключил фтп с админ панели хостинга , и лег спать спокойно
+1
Hunter (Роман) Hunter (Роман) 11 лет назад #
И это правильно - вход в админку - строго по IP, на хосn строго по IP, FTP - строго про IP - ведь это немного стоит =всего 150 руб в месяц за фиксенный IP - и все почти проблемы решены. Еще - нафиг Вам пользователи - ради них всех - делайте регистрацию по приглашениям или за бабки - и будет Вам счастье - пусть говорят - что это не выход - но если у Вас СДЛ сайт - это в норме....
0
Зекабрист Зекабрист 11 лет назад #
Всё перечисленое хорошо . А кто подскажет как сделать чтобы администратор не мог в профиле сменить эл почту главного администратора?

Ведь можно сменить эл почту затем через забыли пароль сменить и вот вы уже главный админ
-1
RIf RIf 11 лет назад #
Что за бред здесь пишут. У меня на хостинге стоит автосохранение дампа базы. Сколько потребуется времени, чтобы взломать админку Instanta? И даже если вы все постираете или подабовляете, - мне потребуется менее 1 минуты, чтобы все восстановить.
0
picaboo picaboo 11 лет назад #
бред тут только ваш пост, если у меня будет доступ к админке - админ об этом узнает последним. это только школота что-то стирает, умные люди будут вас юзать незаметно и аккуратно, что бы продлить удовольствие на максимально возможное время.
-2
RIf RIf 11 лет назад #
В смысле незаметно? А нахера, вообще, ломать админку? Этим и занимаются ради потешить самолюбие, да что-нибудь поломать.А ломать админку чтобы оставить там что??? 2-3 ссылки? Кому это надо? А если вы такой мнительный, есть лог времени последнего посещания админом, смотрите, че. Еще пароль меняйте 2 раза в месяц.

Вопрос? Можно ли сделать с сайтом что-нибудь очень страшное и одновременно незаметное? Никогда. Шел, хуел и даже ссылки - все сразу на поверхность вылезет. Так-что умный человек если и станет тратить свое время на взлом админки, то лишь для того, чтобы потешить свое самолюбие.
+1
Петр Петр 11 лет назад #
если вы ничего не смыслите, вам лучше промолчать.
-1
RIf RIf 11 лет назад #
так поведайте, не стесняйтесь... о чем вы таком смыслите. А?
+1
Игорь Филиппов Игорь Филиппов 11 лет назад #
Дело говоришь, у меня есть знания чтобы взломать тысячи сайтов, и десятки cms, а смысл в этом? Кому это не надо, тратить свое время
0
RIf RIf 11 лет назад #
Ура, дождался умного человека. Самое страшное, когда ломают вашу панель от хостинга и воруют базу данных. Вот здесь согласен, можно вешаться, особенно если используешь Биллинг и подобное.
0
lezginka.ru lezginka.ru 11 лет назад #
RIf , а что через шел нельзя пароль к БД поменять и все скачать ?
-1
picaboo picaboo 11 лет назад #
через шел менять не надо, в конфиге глянул и приконнектился к базе через шелл.
0
lezginka.ru lezginka.ru 11 лет назад #
RIf, может ты скажешь что-то новое ?

Еще от автора

Дефолтный шаблон  для 1.10.1 и 1.10.2
Дефолтный шаблон для инстанта
Запрет открытия сайта во фрейме
Гугл при поиске по картинкам, результаты выдает открывая сайт с картинкой в своем фрейме, тем самым мы теряем пользователя который не переходит на сай
Оптимальный robots.txt - часть 2
В первой части мы разобрали основы файлы robots.txt, теперь попытаемся понять как и что запрещать им для индексации.
Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.