discord icon
سرور دیسکورد گاردایران

پست های پیشنهاد شده

درود با تشکر از ایمان عزیز .خواستم بحث رو کامل کنم .// 

 

صفحه ای که بدست اوردین رو با نوت پد باز کنید و بدنبال متن زیر باشید

db_host = "localhost";
$db_username = "test";
$db_password = "123";
$db_name = "sql";
$db_add = "test_"

خوب یوزر  و پسورد رو هم که پیدا کردیم میمونه phpmyadmin که باید به آخر سایت اضافه کنیم تا ببینیم میره یا نه ؟ شما باید به این صورت بزنید

site name.com/phpmyadmin
site ip/phpmyadmin

خب این ها رو امتحان کنید اگر  جواب نداد نا امید نشید  یک اسکریپت mysql اپلود کنید و در اونجا مشخصات رو وارد کنید ./ 

 

من براتون یکی اپلود کردم خودتون تست کنید . 

 

http://testtest.xzn.ir/sql.php

 

دلایلی هم که معمولا کانکت نمیشه 

 

میشه گفت 

 

1- بسته بودن قابلیت ریموت زدن به دیتابیس در mysql
2-fake بودن فایل کانفیگ دانلود شده توسط شما
3-مشکل داشتن سروری که شما اسکریپت mysql interface رو روی اون قرار دادید.

این 3 تا دلیل عمده ترین مشکلاتی هستند که پیش میاد توصیه می کنم برای ریموت زدن به دیتابیس همیشه از چندین سرور امتحان کنید

 

 

یا علی 

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

چرا فقط سایت های که بقلشون pdf دارن این باگ رو دارن

عکس

mww8_capture.jpg

این تارگت رو نگاه میکنید www.ashun.com/e-catalog/download.php?get= 

چطوری باید به config.php رسید cms شخصی داره فکرکنم

همون تارگت هست که رنگی شده توی عکس

توی index.php یک تابع هست و توی download.php یک چیز دیگه که فکر نکنم مهم باشه

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

درود با تشکر از ایمان عزیز .خواستم بحث رو کامل کنم .// 

 

صفحه ای که بدست اوردین رو با نوت پد باز کنید و بدنبال متن زیر باشید

db_host = "localhost";
$db_username = "test";
$db_password = "123";
$db_name = "sql";
$db_add = "test_"

خوب یوزر  و پسورد رو هم که پیدا کردیم میمونه phpmyadmin که باید به آخر سایت اضافه کنیم تا ببینیم میره یا نه ؟ شما باید به این صورت بزنید

site name.com/phpmyadmin
site ip/phpmyadmin

خب این ها رو امتحان کنید اگر  جواب نداد نا امید نشید  یک اسکریپت mysql اپلود کنید و در اونجا مشخصات رو وارد کنید ./ 

 

من براتون یکی اپلود کردم خودتون تست کنید . 

 

http://testtest.xzn.ir/sql.php

 

دلایلی هم که معمولا کانکت نمیشه 

 

میشه گفت 

 

1- بسته بودن قابلیت ریموت زدن به دیتابیس در mysql

2-fake بودن فایل کانفیگ دانلود شده توسط شما

3-مشکل داشتن سروری که شما اسکریپت mysql interface رو روی اون قرار دادید.

این 3 تا دلیل عمده ترین مشکلاتی هستند که پیش میاد توصیه می کنم برای ریموت زدن به دیتابیس همیشه از چندین سرور امتحان کنید

 

 

یا علی 

/**
 * The base configurations of the WordPress.
 *
 * This file has the following configurations: MySQL settings, Table Prefix,
 * Secret Keys, WordPress Language, and ABSPATH. You can find more information
 * by visiting {@link http://codex.wordpress.org/Editing_wp-config.php Editing
 * wp-config.php} Codex page. You can get the MySQL settings from your web host.
 *
 * This file is used by the wp-config.php creation script during the
 * installation. You don't have to use the web site, you can just copy this file
 * to "wp-config.php" and fill in the values.
 *
 * @package WordPress
 */

// ** MySQL settings - You can get this info from your web host ** //
/** The name of the database for WordPress */
define('DB_NAME', 'roadster_site');

if($_SERVER["HTTP_HOST"] == "localhost"){
	define('DB_USER', 'root');
	define('DB_PASSWORD', '');
} else {
	define('DB_USER', 'roadster_beta');
	define('DB_PASSWORD', 'Roadster2011');	
}

/** MySQL hostname */
define('DB_HOST', 'localhost');

/** Database Charset to use in creating database tables. */
define('DB_CHARSET', 'utf8');

/** The Database Collate type. Don't change this if in doubt. */
define('DB_COLLATE', '');

/**#@+
 * Authentication Unique Keys and Salts.
 *
 * Change these to different unique phrases!
 * You can generate these using the {@link https://api.wordpress.org/secret-key/1.1/salt/ WordPress.org secret-key service}
 * You can change these at any point in time to invalidate all existing cookies. This will force all users to have to log in again.
 *
 * @since 2.6.0
 */
define('AUTH_KEY',         'o%tox9T=B?BTWrN@7EC[b{4*W8j9g?eIgV(fSb?ZDPOv@f>PaG[:fjA&G}}WedyD');
define('SECURE_AUTH_KEY',  '2%W2A1c/(xV/CFYg[A/.&V=k(aRJ6vG3i2%ca;SfbH#//i0RGLw-.@ Z&&KwAal.');
define('LOGGED_IN_KEY',    '4%P<KFF-`NJ<X@-93EcAP_BSb6^82vrJEX)lTj;%[6Pxi.<%b96Q[`j@h*:E)mda');
define('NONCE_KEY',        'e}C:=r_<HU7=Prr#eB)m>X]SQQzxMGppAm~1,L~}YVk:>gIi:UjupX#!)Xd`oTMI');
define('AUTH_SALT',        'L^nUmnJB=*cn6mbC6]/:sBi8=k}/_|+_q^d,_l-FO9t-@@,+Yuvd_Jk*Ej59a(ey');
define('SECURE_AUTH_SALT', '#WCs$?dJ:jwZMU1J6ZR_{H79GVuf<YJ?~Zk)Moe|8@=zBTcvqV(jmo`6aAa;+yhP');
define('LOGGED_IN_SALT',   '%&/e*0-Z+5F8]p|+TQJMq/}NMJi-E{Vn*_#<m:yaM0orE}-+ b-Z8Cr&f24{=^wE');
define('NONCE_SALT',       'Mbr5GT)w_)Z|/T]JE]w|n30|<Dn`x,A,Xk>H*DpXaZ++V -Bn| rj`aj5C(LKiIZ');

/**#@-*/

/**
 * WordPress Database Table prefix.
 *
 * You can have multiple installations in one database if you give each a unique
 * prefix. Only numbers, letters, and underscores please!
 */
$table_prefix  = 'wp_';

/**
 * WordPress Localized Language, defaults to English.
 *
 * Change this to localize WordPress. A corresponding MO file for the chosen
 * language must be installed to wp-content/languages. For example, install
 * de_DE.mo to wp-content/languages and set WPLANG to 'de_DE' to enable German
 * language support.
 */
define('WPLANG', '');

/**
 * For developers: WordPress debugging mode.
 *
 * Change this to true to enable the display of notices during development.
 * It is strongly recommended that plugin and theme developers use WP_DEBUG
 * in their development environments.
 */
define('WP_DEBUG', false);

/** Absolute path to the WordPress directory. */
if ( !defined('ABSPATH') )
	define('ABSPATH', dirname(__FILE__) . '/');

/** Sets up WordPress vars and included files. */
require_once(ABSPATH . 'wp-settings.php');

این کانفیک این سایت هست که روش مستر ایمان توضیح دادند http://roadstershop.com/

من یک my sql دارم اپلود کردم ولی هرچی یوزر و پسورد رو میزنم نمیره شما هم یک تست بکیند

لینک

reza12.xzn.ir/my.php

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

چرا فقط سایت های که بقلشون pdf دارن این باگ رو دارن

عکس

mww8_capture.jpg

این تارگت رو نگاه میکنید www.ashun.com/e-catalog/download.php?get= 

چطوری باید به config.php رسید cms شخصی داره فکرکنم

همون تارگت هست که رنگی شده توی عکس

توی index.php یک تابع هست و توی download.php یک چیز دیگه که فکر نکنم مهم باشه

اگه میدونید جوال این سوال رو بدید

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام

با اجازه از مدیران و دوستان گل گارد ایران

ببینید دوست عزیز خوب باید یک فایل دانلود بشه که بفهمیم سایت اسیب پذیر هست یا خیر

شما ادرس یا نام pdf رو از جلوی download.php?file= بردارید ومثلا بزنید

file://etc/passwd

اگه فیلتر نشده باشه (access denide )نده دانلود میشه

و اما برای سایت

http://roadstershop.com:3306/

پورت 3306 که مدیریت mysql رو بر عهده داره بازه من زیاد روش کار نکردم نمیتونم راه حل قطعی بدم ولی شما میتونید با استافده از بعضی نرم افزار ها (رو اینترنت سرچ کنید ) به 3306 کانکت بشید با یوزر و پسورد

شایت هم اون ورژن رو بشه اکسپلویت کرد (بازم سرچ کنید ) کلا باگ lfd خیلی کمک بعضی وقتا میتونه بکنه :)

ویرایش .............

از این نرم افزار هم میتونید استفاده کنید

http://www.sqlmanager.net/en/products/mysql/manager

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

سلام خدمت همه هکر های تیم امنیتی گارد ایران

بچه ها من  فایل کانفیگ یه سایت رو دارم و بعد از برسی  هایی که انجام دادم فهمیدم که phpmyadmin به صورت ریموت نمیشه دسترسی داشت بهش و یک اسکریپت برای بدست آوردن phpmyadmin بود که در همین سایت قرار داشت اونم امتهان کردم نشد

از طریق برنامه هایی مثل Navicat for Mysql اقدام کردم نشد

متخصصان گارد ایران راهنمایی بفرمایند بی زحمت .

و اینم بگم که این mysql interface چیه کسی اسکریپتشو داره ؟

به اشتراک گذاری این ارسال


لینک به ارسال
به اشتراک گذاری در سایت های دیگر

برای ارسال دیدگاه یک حساب کاربری ایجاد کنید یا وارد حساب خود شوید

برای اینکه بتوانید دیدگاهی ارسال کنید نیاز دارید که کاربر سایت شوید

ایجاد یک حساب کاربری

برای حساب کاربری جدید در سایت ما ثبت نام کنید. عضویت خیلی ساده است !

ثبت نام یک حساب کاربری جدید

ورود به حساب کاربری

دارای حساب کاربری هستید؟ از اینجا وارد شوید

ورود به حساب کاربری