/etc/passwd/
HackForum
| Chci se zeptat když jsem pomocí lfi našel passwd jak zněj dostat heslo admina. Díky :) (odpovědět) | _xxxxx_ | 37.221.242.* | 25.6.2014 18:19 |
|
|
|
| hesla v /etc/passwd nejsou
viz cs.wikipedia.org/wiki/Passwd (odpovědět) | |
|
|
| Dobrá. Proč se tedy v LFI vyhledávájí? Kčemu to je dobrý? (odpovědět) | _x_ | 37.221.242.* | 25.6.2014 18:49 |
|
|
|
| cetl jsi tu wiki? v /etc/passwd najdes informace u uzivatelich
jak chces crackovat heslo admina, kdyz neznas jeho prihlasovaci jmeno? (odpovědět) | |
|
|
| Dobrý to jsem chtěl vědět. Díky :) (odpovědět) | _x_ | 37.221.242.* | 25.6.2014 19:01 |
|
|
|
| root@localhost:~# unshadow
Usage: unshadow PASSWORD-FILE SHADOW-FILE
root@localhost:~# unshadow /etc/passwd /etc/shadow > hesla.txt
root@localhost:~# john hesla.txt
Created directory: /root/.john
Warning: detected hash type "sha512crypt", but the string is also recognized as "crypt"
Use the "--format=crypt" option to force loading these as that type instead
Loaded 1 password hash (sha512crypt [64/64])
guesses: 0 time: 0:00:05:28 0.00% (3) c/s: 500 trying: chady - chish
Session aborted
root@localhost:~# john -show hesla.txt
0 password hashes cracked, 1 left (odpovědět) | |
|
|
| a shadow bych měl získat jak ? (odpovědět) | _x_ | 37.221.242.* | 25.6.2014 19:50 |
|
|
|
| stejne jako jsi ziskal obsah /etc/passwd
... pokud ma webova aplikace pravo na jeho cteni ... (odpovědět) | |
|
|
| Celkem bych se divil, kdyby byl /etc/shadow s právy pro čtení. S tím jsem se setkal opravdu jen párkrát a vždy to bylo o blbosti admina (ať už z důvodu dřívějšího hacku nebo nesmyslným nastavením práv pro čtení).
----------
Sec-Cave.cz - [link] (odpovědět) | |
|
|
| Takže LFI vpodstatě slouží jen na získání přihlašovacího jména? Bylo by dobré kdyby o tom někdo udělal článek na Soomu :) (odpovědět) | _x_ | 37.221.242.* | 25.6.2014 20:04 |
|
|
|
|
| LFI slouzi na vypsani jakehokoliv lokalniho souboru, ktery muzes cist. Prvne si tu problematiku vic nastuduj, at mas prehled, co se deje a jake soubory jsou zajimave.
Jako bonus davam odkaz na velmi skvely nastroj pro exploitaci LFI: [link] (odpovědět) | |
|
|