[История] Заработок на чужих сайтах
@theblackhatПривет, читетель!
Я хочу поведать тебе историю о том как самое простое и рутинное занятие как выбор обоев на рабочий стол компьютера закончилось получением денег... А виной всему природная любопытность.
А так же даю вам рабочий способ на растерзание
Начало
И так волею судем я оказался на сайте anywalls.com
выбирая между крутой машиной и полуголой школьницей на рабочий стол я заметил что на сайте довольно таки много рекламы и наверное администратор зарабатывает копеечку с такого убогого и незамысловатого сайта.
И вот настал тот момент когда я нажимаю на кнопку скачать я замечаю что ссылка вида
http://anywalls.com/download.php?
Недолго поразмыслив над этой штукой я попытался скачать что нибудь иное, а не ту картинку, заменив пару буковок в ссылке вышло так
http://anywalls.com/download.php?download_file=&file=../index.php
изучив файл index.php я пришел к выводу что это однозначно удивительная находа, а ну и что скрипт CMS сайта это Data Life Engine
Занюхнув дорожечку кокса я решил что можно попасть в PhpMyAdmin и подставив нужную строку в скрипт загрузчика картинок я получил данные для доступа в базу данных
http://anywalls.com/download.php?download_file=&file=../engine/data/dbconfig.php
Недолго думая я пытаюсь найти PMA переходя по ссылочкам типа
anywalls.com/pma,/myadmin,/mysql и в итоге нахожу то что мне нужно
http://anywalls.com/phpmyadmin/
использую данные из скачанного файла и расплываюсь в улыбке потому что получил доступ к базе данных такого серьезного "проекта".
Ну а дальше любому дурочку понятно что я создаю себе учетную запись с админскими правами и через админку DLE встраиваю свои рекламные обьявления.
Да простит меня админ AnyWalls, но я знаю еще как минимум 5 сайтов c обоямина раб стол со схожей уязвимостью.