.HTACCESS И .HTPASSWD
Спецвыпуск Xakep, номер #022, стр. 022-046-3
Итак, для того чтобы достать пароли, нам необходимо узнать место, где они лежать. Для этого попробуем найти файл .htaccess. Сперва попробуем посмотреть его в корне сервера: www.server.com/.htaccess. Нам может повезти, а может и нет. Если файл там есть и он не защищен, то мы увидим его содержимое в браузере. Теперь, когда мы знаем путь к файлу с паролями, мы так же легко получаем его в браузере. Если ты думаешь, что все это ерунда, и ни один админ в здравом уме не оставит файл с паролями просто так лежать на всеобщем обозрении, попробуй зайти на www.filesearch.ru и поискать файл .htpasswd. filesearch.ru это поисковик, который ищет файлы на ftp-серверах. Уверяю, результаты поиска тебя удивят. Теперь скажи мне, что тебе мешает скачать этот злополучный файл с паролями и расшифровать его? Правильно - ничего не мешает.
Иногда бывает так, что файлы с паролями лежат в запароленных частях сайта. И чтобы достать все пароли, необходим один-единственный пароль для этой закрытой части. В этом случае надо попробовать стандартные комбинации логин/пароль типа: test/test, guest/guest, admin/nimda и т.д.
В большинстве случае ты сможешь получить пароли от закрытых частей сайта, от панелей управления сайтом, от различных систем администрирования. Я неоднократно сталкивался с тем, что пароли от закрытой части сайта и от ftp совпадают. Так что получить полный доступ к сайту тебе ничего не мешает.
HAPPY END
Естественно, просто так ломать сайты из-за того, что они ломаются, не надо. От тебя гораздо больше пользы будет, если ты напишешь администратору о проблеме и попросишь халявный хостинг, например. :) И, как ты поминаешь, все, что я здесь написал, я сам никогда не пробовал. И сайты сам не взламывал. В нашем селе просто нету Интернета, а все это сгенерировал автоматический генератор бреда.
Назад на стр. 022-046-2 Содержание
|