Форум АНТИЧАТ

Форум АНТИЧАТ (https://forum.antichat.xyz/index.php)
-   Форумы (https://forum.antichat.xyz/forumdisplay.php?f=16)
-   -   Есть доступ к сайту.Возможно ли создав юзвера(phpBB), повысить ему права до админа? (https://forum.antichat.xyz/showthread.php?t=3347)

:|| 30.11.2004 18:32
Есть доступ к сайту.Возможно ли создав юзвера(phpBB), повысить ему права до админа?
 
Вот хотел бы задать такой вопрос, если уже есть полный доступ к сайту, уже ревью залит, уже базу читаем, уже прочитали таблицу с юзерами, например видим там около 1500 юзеров их пассы в мд5хеше, вот и вопрос: Если я создам юзера, как мне через шел повысить ему права до админа и вообще возможно ли это, я думал $query = "INSERT INTO users(параметры) VALUES (здесь переменные к параметрам)";
Тогда теоритически если я не ошибаюсь это создаст юзера, а в переменных для параметра user_level соответственно поставить '1', но на практике у меня нечего не вышло(( А можно ли редактировать юзеров которые уже в таблице, то есть менять им пароль или юзер_лвл повышать?

Algol 30.11.2004 19:58
Я что-то не понял. Доступ в админку есть ? Если есть, то через админку админы и назначаются ...

:|| 03.12.2004 00:18
Дык чтоб был доступ в админку, нада зайти под админом, а чтоб зайти под админом нада расшифровать пароль в мд5хеше, вот и проблема, с расшифровкой пароля, вот и вопрос можно ли как нибудь избежать это, то есть создать юзера с правами или повысить права юзеру, что нибудь непосредственно из базы данных, или с помощью пхпревью, доступ на сайт полный, то есть что хочешь то и делай.

Algol 03.12.2004 13:00
аа... я понял что ты имеешь ввиду...
Нет, так не получится. В принципе такое можно сделать, но только там, где админка совмещена с основным форумом или с персональным ящиком (тогда админу можно было бы послать скрипт, который бы сделал тебя админом), но в phpBB этого нет.

sergio_nikol 21.01.2006 21:18
почему, если можно выполнять любые sql команды то можно воспользоваться такой командой:
update phpbb_users set
user_level = "1" where user_id="и тут твой ид"
По сути команда должна пахать ;)
Говорю как программист ;)

TTyck 22.01.2006 00:10
Если есть хеш админа, то можно войти как админ.

Barsik 22.01.2006 01:01
Вот еслиб ты был админом то мог бы создать юзверя с админскими правами.
А так точно не могу ответить

ded2006 22.01.2006 02:31
ребята есть хеш админа !!!так пусть он его сюда выложит а мы попытаемся его розшифровать......Тимболли если он имеет доступ к базе данных так пуст он в ней и поменяет прова созданого им юзера !!!

the[ugly]one 25.01.2006 12:16
Цитата:
Сообщение от :||
Дык чтоб был доступ в админку, нада зайти под админом
не обязательно;
если тебе повезло стырить куки после того, как админ заходил в адм.панель, то ты зайдёшь в админу с его куками и без пасса. (нашёл вчера, протестил на 2.0.19)

Deniska 25.01.2006 13:01
Насколько я знаю пароли в phpbb шифруются в обычный md5.
Выбираешь в форуме юзера который долго не заходил на форум (чтоб не было притензий)
шифруешь свой пароль (любой, какой взбредёт в голову) в md5
вставляешь этот (свой пароль зашифрованый в md5) пароль вместо пароля юзера
и меняешь ему права доступа такие как у админа

P.S. такое должно прокатить если ты читаешь базу с помощью phpmyadmin
и у тебя хватает прав


Время: 18:26