Авторизация на сайте без логина и пароля. Это возможно! - Joomla 2.5: Общие вопросы

Всем привет.
Разбирался с вопросом как на сайте в автоматическом режиме выполнять кроном определенные действия от имени "спец.пользователя" - робот. Проблема осложнялась тем, что нужно было вызывать разные плагины, а приделывать всевозможные костыли под крон не хотелось. Тогда решил разобраться с системой авторизации.
Для нормальной работы системы авторизации нужен логин и пароль. Для того, чтобы скрипт подставлял эти данные, их нужно хранить где-то в открытом виде, чего естественно не хотелось бы.
Тогда я решил взглянуть на систему авторизации повнимательнее. И то, что я там увидел   у меня вызывает смешанные чувства.

Конечно, если пользоваться стандартными модулями авторизации, то всё работает, так как и задумано. Но если на сайт кто-либо добавит очень маленький скрипт, то достаточно знать ИД пользователя или угадать (подобрать) его. С учетом того, что учетки суперадминов создаются в самом начале жизни сайта, то получить полный контроль над сайтом не составляет труда.

Чтобы все могли убедиться на сколько все просто выкладываю получившийся скрипт.


Вызывается скрипт очень просто. Достаточно в GET-запросе передать две переменных, например так
<имя_сайта><какой-то_там_путь_к_скрипту>?app=<где_авторизуемся>&id=<ИД_пользователя>
Где,
app - на какой часть сайта авторизуетесь. Принимает значения 'site' или 'administrator'  для авторизации соответственно во форнт энде и бэкэнде.
id - ИД пользователя.

Кто из пользователей может оставить вам такой "подарок" думайте сами, но после этого хоть меняй ему пароль, хоть не меняй - он все равно всегда сможет зайти на сайт и под любой учеткой. Даже под вашей. И сможет сделать на сайте все, что пожелает.  

p.s. перечитав пять раз подряд понимаю что ваш план по захвату власти рушиться на этапе загрузки php файла пользователем на хостинг...

Если есть возможность добавить маленький скрипт - можно полный файловый менеджер залить. И не нужно никакой авторизации обходить.

Все уже давно придумано за нас.

Если есть возможность добавить маленький скрипт - можно полный файловый менеджер залить. И не нужно никакой авторизации обходить.

Про то, как слить/добавить файлы и как слить базу, не будучи авторизованным, т.е. сделать полностью идентичную копию сайта, или что-либо добавить что-то в базу, я давно знал. Сейчас разобрался, что можно еще и "похозяйничать" под видом пользователя. Чем и поделился.

Про то, как слить/добавить файлы и как слить базу, не будучи авторизованным, т.е. сделать полностью идентичную копию сайта, или что-либо добавить что-то в базу, я давно знал. Сейчас разобрался, что можно еще и "похозяйничать" под видом пользователя. Чем и поделился.

Похозяйчать под видом пользователя можно и прямым вносом необходимых данных в базу! и тупо добавить себе админа вот посмотрите этот скрипт: http://joomlaforum.ru/index.php/topic,273055.msg
но вы так и не сказали как обычному пользователю который не имеет ни доступа в админку ни доступа к хостингу вообще залить данный скрипт?!

но и без того что вы написали можно на абссолютно чистом PHP без использования API CMS написать абсолютно такое же для любой CMS

но вы так и не сказали как обычному пользователю который не имеет ни доступа в админку ни доступа к хостингу вообще залить данный скрипт?!

Почему не сказал? читайте конец первого поста

Кто из пользователей может оставить вам такой "подарок" думайте сами...

Что касается "чистого PHP" и "для любой CMS", то оно скорее всего так и есть. Но поскольку не являюсь специалистом в "любых CMS", то не утверждаю такого.
Все гораздо проще: что нашел, тем и поделился. И что с этим делать уже вам самим решать.

Istaan, спасибо за ссылку. Полюбопытствовал.
Основная часть функционала действительно такая же. Разница в мелочах и в том, что "сам нашел" 

Почему не сказал? читайте конец первого поста

то есть это читать:

Кто из пользователей может оставить вам такой "подарок" думайте сами, но после этого хоть меняй ему пароль, хоть не меняй - он все равно всегда сможет зайти на сайт и под любой учеткой. Даже под вашей. И сможет сделать на сайте все, что пожелает.

?
ещё раз спрашиваю как пользователь который не имеет доступа к хостингу, или к административной части сайта может загрузить на хостинг данный скрипт для его выполнения?!
если он сможет, то у вас уязвимость в сайте  или хостере, и взломщику не нужно будет грузить данный скрипт что бы хозяйничать, он загрузит что то для работы с базой и полноценный файл менеджер и у него будет в разы больше возможностей чем в вашем варианте!

вот к примеру мой сайт на Joomla http://ссылка вырезана, так как домен распространяет вирусы/ логин от админской учетки Frisian! загрузите на него свой скрипт

...ещё раз спрашиваю...

Если бы вы внимательней читали первый пост, то увидели бы, что я не утверждаю про "всех". Речь шла только про "пользователей", имеющих соответствующий доступ. Например, про горе-настройщиков, которых очень часто пускают на сайт без разбору. Либо когда у пользователей есть возможность загрузки файлов на сайт (например разрешено "прикреплять" к статьям и/или постам на форуме файлы без должной проверки последних). Либо бывают ситуации, когда "потенциальным клиентам" (незарегистрированным пользователям) дают возможность оставить заявку на выполнение каких-то работ и прикрепить к ней файлы.

Что касается "людей со стороны", то достаточно оставить какой-нибудь php-шный файл с последней цифрой в CHMOD, равной 3 или 7, и после некоторого изучения сайта будет ему счастье

Если бы вы внимательней читали первый пост, то увидели бы, что я не утверждаю про "всех". Речь шла только про "пользователей", имеющих соответствующий доступ. Например, про горе-настройщиков, которых очень часто пускают на сайт без разбору. Либо когда у пользователей есть возможность загрузки файлов на сайт (например разрешено "прикреплять" к статьям и/или постам на форуме файлы без должной проверки последних). Либо бывают ситуации, когда "потенциальным клиентам" (незарегистрированным пользователям) дают возможность оставить заявку на выполнение каких-то работ и прикрепить к ней файлы.

все что вы перечислили относится к потенциальной уязвимости сайта! зачем заливать взломщику этот скрипт если можно залить файл менеджер с скриптом для работы с базой и делать с сайтом что угодно даже не зная админки сайта и особенностей CMS...
с авторизацией все нормально! вы через чур перегибаете, и  необоснованно развели панику.. вы просто забываете про то что если сайт нормально написан то никто ваш скрипт не выполнит, а если есть потенциальная уязвимость с возможностью загрузки файла то ни одна CMS или фреймворк или самопис на PHP не спасет...

Что вы, что вы... какая паника?.. не в моем возрасте паниковать по таким вещам.
Всего лишь делюсь впечатлением о том, как легко рушится вся система безопасности данной CMS и хотелось бы обратить внимание почтенной публики на, чтобы лишний раз думали о том кому и что доверяют на своих сайтах. Что до того перегибаю или не догибаю что-то -- это пускай каждый сам для себя решает.

Про то, как слить/добавить файлы и как слить базу, не будучи авторизованным, т.е. сделать полностью идентичную копию сайта, или что-либо добавить что-то в базу, я давно знал.

а ну-ка! слейте мне базу с joomlaportal.ru, там даже 1 стоит))

Что вы, что вы... какая паника?.. не в моем возрасте паниковать по таким вещам.
Всего лишь делюсь впечатлением о том, как легко рушится вся система безопасности данной CMS и хотелось бы обратить внимание почтенной публики на, чтобы лишний раз думали о том кому и что доверяют на своих сайтах. Что до того перегибаю или не догибаю что-то -- это пускай каждый сам для себя решает.

Ещё раз объясняю: у вас впечатление основано на сферической лошади в вакууме! вы никак не можете объяснить как на сайте который писал программист с ровными руками левый пользователь может загрузить подобный скрипт! И вы почему то не понимаете что если пользователь может загрузить любой скрипт на сайт, то ему нафиг не нужен подобный файл, потому что он сможет с системой делать все что угодно, этому подвержена любая система с открытым исходным кодом! а авторизация в Joomla адекватная, и ничего в ней нет что бы вызывать смешанные чувства!

у вас впечатление основано на сферической лошади в вакууме!

Точно. Aeliot, вы, видимо, были под очень сильным впечатлением. Если я могу и хочу что-то залить на ваш сайт, то зачем мне мелочиться?

Ну, наехали) Человек просто нашел интересную взаимосвязь и поспешил ею поделиться.

Ну, наехали) Человек просто нашел интересную взаимосвязь и поспешил ею поделиться.

да мы просто пытаемся показать что человек не совсем в курсе происходящего ) а вообще мы тут все белые и пушистые

а как такое проделать с Дж 3.6? есть такая возможность?

а как такое проделать с Дж 3.6? есть такая возможность?

Не знаю на счет 3.6.5, но в целом почитайте про RCE для 3 ветки.

а как такое проделать с Дж 3.6? есть такая возможность?

1. вы с какой стороны баррикады интересуетесь?
2. что именно проделать?

защита от кидал-заказчиков) делаю магазин и для тестирования его нужно перенести на хост заказчика, только после теста оплата и стоит вопрос страховки.
т.е. нужен скрипт авторизации под суперюзером в обход логин-пароль

имхо странный подход к решению странной проблемы. что-то мешает провести тестирование на вашем хосте?

защита от кидал-заказчиков)

От кидал делаем сайт и размещаем в сети, даем доступ - заходите, смотрите. Работа сделана. Как бабки переведете - получите ваш сайт. Все. На этом строятся отношения, а не внедрении бэкдоров. Если клиент проверит и найдет эту вашу лазейку, ваша репа будет подмочена довольно конкретно.

я не таких советов просил а по делу. если нет возможности работать на своем хосте (да и муторно туда сюда все кидать), то для меня это вариант и оставлять скрипт на сайте не намерен

в общем все отлично работает и на Дж 3.6.5 

та конечно работает. бекдору вообще все равно где работать. только это по прежнему

имхо странный подход к решению странной проблемы

ну, дело ваше. хотите рисковать именем - рискуйте. я бы не хотел краснеть объясняя почему, если вдруг какая нибудь проактивная защита на хостиге клиента обнаружит ваш бекдор и запищит поросячим визгом. если вам охота - пожалуйста.

та конечно работает. бекдору вообще все равно где работать. только это по прежнему:) ну, дело ваше. хотите рисковать именем - рискуйте. я бы не хотел краснеть объясняя почему, если вдруг какая нибудь проактивная защита на хостиге клиента обнаружит ваш бекдор и запищит поросячим визгом. если вам охота - пожалуйста.

не беспокойтесь, пищать не будет)

я не таких советов просил а по делу.

За такими советами идите на сайты кибершпаны и уточняйте, как нагадить везде и остаться при этом чистым. Ну и за минус мне в репу спасибо, буду теперь показывать эту тему и очередного умника, который не понимает, что ему говорят. Вам минус ставить в отместку не буду - я не такой человек.

Я уважаю тех, кто все делает хорошо, со вкусом, даже если это "все" - что-то плохое. А вам, koyot777, мало того, что сами не можете постоять за себя, еще и раздаете минусы за правильные советы. Ни знания, ни чести, ни проф.этики . Жаль, что я установил для себя правило "никому не минусовать".

Я как-то плагин написал который обращался ко мне на сайт и проверял наличие домена XML а если нет,  то делал редирект(это был самый безобидный из вариантов). Кстати применимо и к копирайтам. Плагин конечно можно вырубить и даже без админки, но надо же знать что искать =)