5 Antworten in diesem Thema

[VeqasZ]

Hallo,

 

ich würde gerne eine Website defacen, kenne aber weder das CMS dahinter, noch habe ich irgendwelche SQLi´s entdeckt, da die Links alle folgendermaßen aussehen:

http://domain.xyz/NAME.php/cat/37/aid/3814/title/ARTIKELNAME

Jemand eine Idee, wie ich´s sonst machen kann?

FTP-Bruteforce? 

Eine Phishingmail versenden?

SSH ist dicht, sprich dort kann ich keinen BF laufen lassen.

 

Danke,

 

 

E: Das CMS stammt von digramm.com

		<meta name="generator" content="DCS 4" />

Bearbeitet von VeqasZ, 06 March 2015 - 14:30 Uhr.

[DR.zydz]

Stellt sich erstmal die Frage warum du defacen möchtest? Ein Eindringen und unentdecktes Vorgehen bringt viel mehr und du hast länger etwas von dem Server.

 

Zum Vorgehen: schau dir doch mal andere Seiten auf dem Server oder ihn selbst an. Gibt es Subdomains? Offene Ports/FTP's gecheckt? Und so weiter..

[FalkE]

 

Hallo,

 

ich würde gerne eine Website defacen, kenne aber weder das CMS dahinter, noch habe ich irgendwelche SQLi´s entdeckt, da die Links alle folgendermaßen aussehen:

http://domain.xyz/NAME.php/cat/37/aid/3814/title/ARTIKELNAME

Jemand eine Idee, wie ich´s sonst machen kann?

FTP-Bruteforce? 

Eine Phishingmail versenden?

SSH ist dicht, sprich dort kann ich keinen BF laufen lassen.

 

Danke,

 

 

E: Das CMS stammt von digramm.com

		<meta name="generator" content="DCS 4" />

die links sind url rewritten, eine sqli wird dadurch nicht verhindert. man guckt sich das einfach genau an und leitet sich den original path her oder lässt sich auf das format ein:

http://domain.xyz/NAME.php/cat/37[ SONDERZEICHEN SETZEN ]/aid/3814[ SONDERZEICHEN SETZEN ]/title/ARTIKELNAME (eb)

aber eigentlich habe ich keine lust hilfestellung zu geben, da:

"ich würde gerne eine Website defacen"

 

in diesem sinne wird die page nicht von dir sondern über unsere hilfestellung defaced.

da du hier weder das target nennst, noch deine gründe erläuterst, bekommst du von mir den skiddy stempel aufgedrückt.

 

kindergarten..

[DR.zydz]

@ FalkE

Es ist nicht mehr so, wie früher. Da hat man für solche Anfragen eine saftige Abfuhr bekommen mit nem Spruch von wegen: Informiere dich selbst und wenn du mehr kannst und dich auskennst, dann melde dich wieder.

Irgendwie muss man für heute alles Muttihilfe geben. Soll nicht böse gemeint sein, aber früher hats auch nicht geschadet; im Gegenteil! Ist am Anfang zwar schwieriger, aber dann bekommt man umso mehr Repsekt und Wissen!

Also, settz euch auf euren Hosenboden und strengt euer Hirn an!

 

Back2Topic: URL umformen geht natürlich auch, wie FalkE schon sagte. Wenn du dich ein wenig mit Füllzeichen und Bypasses auseinandersetzt, dann wird das schon

[B1nary]

FalkE hat Recht, mod_rewrite ist kein Grund, dass SQLi nicht mehr greift

RewriteEngine on 
RewriteRule ^artikelnummer_([0-9]+).html$ artikel.php?id=$1

führt unweigerlich zu

domain.de/artikelnummer_23'.html  -->  domain.de/artikel.php?id=23'

[VeqasZ]

die links sind url rewritten, eine sqli wird dadurch nicht verhindert. man guckt sich das einfach genau an und leitet sich den original path her oder lässt sich auf das format ein:

http://domain.xyz/NAME.php/cat/37[ SONDERZEICHEN SETZEN ]/aid/3814[ SONDERZEICHEN SETZEN ]/title/ARTIKELNAME (eb)

Danke für deinen Beitrag. Ich bin für jeden Denkanstoß/Tipp dankbar!
Es geht um einen ehemaligen deutschen SPD-Politiker, welcher in letzter Zeit durch negative Schlagzeilen aufgefallen ist.
URL´s habe ich entsprechend mit Sonderzeichen "ausgestattet", jedoch werde ich dann einfach auf die Startseite weitergeleitet, die URL bleibt an sich aber gleich.

Bearbeitet von VeqasZ, 07 March 2015 - 14:32 Uhr.