Forum Webscript.Ru
Программирование => PHP => Тема начата: teebot от 25 Декабря 2003, 11:13:11
-
Доброе время суток уважаемые знатоки PHP.
У меня к вам немного необычная просьба.
Мне нужна помощь в получании прав админа на форуме vBulletin. А дело вот в чем. Есть сайт (http://www.unix.lviv.ua) его сделал я. (дизайн сильно не обкакивайте я не профессионал) и есть форум (http://www.unix.lviv.ua/forum) который ставил другой чел. Вы посмотрите на разницу в цветовой гамме. Это же позор. Тот кто устанавливал форум, права админа мне давать не хочет (хотя я имею полные права над всем остальным) мотивируя это тем что кто-то один должен следить за форумом, я вообщем-то был бы с ним согласен, если бы он форум поддерживал. Поменять цвета на форуме я прошу уже недели 3. Намекните хотя бы как можно мне подогнать цвета форума к главной странице (не наоборот!!!), если не через получение админ привилегий.
Я в ПХП не силен, но так вообще программирую то думаю маяки ваши пойму. Я пытался разбираться в исходняках, думал там храниться стиль форума, насколько я понял нет. Скорее всего это храниться в базе.
Одним словом прошу помощи и совета.
З.Ы. у меня розумеется есть полный доступ к исходнякам форума, так что ломать ничего не надо. Это я навсякий случай что бы не подумали что хакер.
-
в базе есть таблица с перечнем юзеров - поменяй в ней пароль администратора. пароль скорее всего хранится в md5
-
ну братец ты загнул.
таблица есть, это без сомнений.
когда я просил получить права админа я впервую очередь думал вот о чем. С базами слабо знаком но записи беруть по-моему через SELECT наверное в SELECT можно сделать какой-то OR мой акаунт.
МОжно?
-
наверное в SELECT можно сделать какой-то OR мой акаунт
В принципе, делается так.
Допустим, в скрипте происходит выборка:
$sql="SELECT * FROM admin_table WHERE ((login=\'$form_login\') and (pass=\'$form_pass\'))";
$result=mysql_query($sql);
if(mysql_num_rows($result)>0) { admin logged! };
Или наподобие того. Главное, в операторе WHERE сверяется pass=\'$form_pass\'.
Если у тебя, к примеру, есть логин админа (\'admin\' :), то можно попробовать сделать так: передать через форму, соответственно:
login> admin
pass> blablabla\' OR true
* data may vary...
Задача (в данном конкретном случае) - заставить оператор SELECT выдать строку, чтобы оператор перешел на требуемые инструкции.
А теперь - прибор для закатывания губ. vBulletin не позволит передать кавычки в запрос. Поэтому все вышеизложенное работает в лучшем случае для самописных форумов.
AliMamed прав. Кроме как изменить базу - делать больше нечего.
И вообще: получение пароля к администраторскому аккаунту на форуме - нехорошая вещь, за это по голове бьют. То, что было сейчас изложено - вообще, уголовно наказуемо.
Посмотри, если есть шаблоны оформления в каком-то из файлов на сервере (в папке форума) - то меняешь их и все ОК.
-
1) Я могу спокойно поправить исходник, мне не надо заниматься SQL injecton ( blablabla\' OR true) А то что vBulletin защищен от этого я был почти уверен всетаки комерцеский продукт.
2) По голове не получу это гарантия (я просто сделаю копию файла залогинюсь изменю цвета и назад верную оригинал а о том что кто-то админил будет видно да я ему и расскажу)
3) Шаблоны искал, насколько мне удалось выяснить шаблона нет. Для админа есть css а для форума нет даже этого.
-
у меня еще была надежда на помощь, потому что этот форум тоже на том же движке. Самое интересное что в папке /admin/index.php
очень странный я не могу найти то место где прохдит авторизация. Через заголовок методом GET передается action типа login. Так вот этот login нигде не обрабатывается.
-
еще раз. не надо трогать исходники.
если не умеешь обращаться с базой через коммандную строку - поставь phpMyAdmin
-
смешанное у меня впечатление от этого топика.
На гранизакрытия.
по двум причинам.
Первая очевидна, а вторая - лично я бы не взялся что-то править во вбуллетинонвских шаблонах.
Там сам черт ногу сломит.
В общем, ответ уже дали - менять в базе пароль админа
НИКАКИМ НЕ СЕЛЕКТОМ, а апдейтом.
потом вернуть старое значение.
Все. Вопрос исчерпан.
Работа с mysql не входит в тематику данного форума.
-
Зацените теперь форум.
Все удалось правда традиционным метадом. Админ мне пароль сам дал. Я все поправил за 3 минуты, а ждал этого 3 недели.