Trang Chính
Nhận biết:
Khi ta vào 1 websites thấy xuất hiện đột ngột 1 dialog box yêu cầu ta đăng nhập user và pass.
Hoạt động:
Ở directory nơi website được bảo vệ có 1 file luôn được gọi .htpasswd
Ở 1 directory giống như vậy(hoặc khác) có 1 file gọi .htaccess
2 files này điều khiển việc bảo vệ website nơi bạn muốn vào.
Thường thì 2 files này thường được đặt cùng 1 directory.
Khi ta cố gắng để access thư mục này server check nơi .htpasswd và .htaccess tồn tại trong directory và nếu thấy nó sẽ đòi nhập user và pass.
Cái .htpasswd file chứa username và password (đã được mã hóa) trông giống như unix passwd file .
Ví dụ:
Graham:F#.DG*m38d%RF
Webmaster:GJA54j.3g9#$@f
Nội dung:
Username:Password
Đặt vấn đề
Làm thế nào để biết được vị trí của .htpasswd file để có thể đọc được username và password.
Đây là 1 vấn đề .
Nếu .htaccess nằm cùng directory với .htpasswd thì không thể "đột nhập" được nếu không nhập đúng user và pass .
Nhưng có nhiều trường hợp .htpasswd file bên ngoài directory (có thể ở root directory?) và nó không được bảo vệ.
vì vậy nếu ta tìm 1 trang web được bảo mật với "following directory passworded:"
[You must be registered and logged in to see this link.]
Mình biết có 1 file ở /protected/ directory gọi .htaccess bảo vệ nó .Nhưng nếu không có thư mục bảo vệ htpasswd tìm 1 thư mục chứa nó như sau:
Type lên url:
[You must be registered and logged in to see this link.]
Nếu thấy lỗi 'File not found' or giống như vậy - bạn sẽ biết nơi khác trên server nơi không được bảo vệ. Vì vậy ta phải tìm kiếm trên website vị trí đó.
Hãy thử hết khả năng có thể:
[You must be registered and logged in to see this link.]
Vân vân cho đến khi tìm được file không được bảo vệ.
Lúc này bạn sẽ nghĩ làm thế nào để decrypt nó:
Nó sử dụng 1 thuật toán mã hóa giống như unix passwd file.
Bạn có thể tìm các tut về hack unix passwd để biết thêm.
Ta download :
"John the ripper", "Crackerjack", hay unix password cracker khác và chạy file với 1 wordlist tốt.
Kết thúc tut 1 tại đây.
Thanks [You must be registered and logged in to see this link.] đã có 1 bài tập hacking RHC5 về .htaccess .
Khi ta vào 1 websites thấy xuất hiện đột ngột 1 dialog box yêu cầu ta đăng nhập user và pass.
Hoạt động:
Ở directory nơi website được bảo vệ có 1 file luôn được gọi .htpasswd
Ở 1 directory giống như vậy(hoặc khác) có 1 file gọi .htaccess
2 files này điều khiển việc bảo vệ website nơi bạn muốn vào.
Thường thì 2 files này thường được đặt cùng 1 directory.
Khi ta cố gắng để access thư mục này server check nơi .htpasswd và .htaccess tồn tại trong directory và nếu thấy nó sẽ đòi nhập user và pass.
Cái .htpasswd file chứa username và password (đã được mã hóa) trông giống như unix passwd file .
Ví dụ:
Graham:F#.DG*m38d%RF
Webmaster:GJA54j.3g9#$@f
Nội dung:
Username:Password
Đặt vấn đề
Làm thế nào để biết được vị trí của .htpasswd file để có thể đọc được username và password.
Đây là 1 vấn đề .
Nếu .htaccess nằm cùng directory với .htpasswd thì không thể "đột nhập" được nếu không nhập đúng user và pass .
Nhưng có nhiều trường hợp .htpasswd file bên ngoài directory (có thể ở root directory?) và nó không được bảo vệ.
vì vậy nếu ta tìm 1 trang web được bảo mật với "following directory passworded:"
[You must be registered and logged in to see this link.]
Mình biết có 1 file ở /protected/ directory gọi .htaccess bảo vệ nó .Nhưng nếu không có thư mục bảo vệ htpasswd tìm 1 thư mục chứa nó như sau:
Type lên url:
[You must be registered and logged in to see this link.]
Nếu thấy lỗi 'File not found' or giống như vậy - bạn sẽ biết nơi khác trên server nơi không được bảo vệ. Vì vậy ta phải tìm kiếm trên website vị trí đó.
Hãy thử hết khả năng có thể:
[You must be registered and logged in to see this link.]
Vân vân cho đến khi tìm được file không được bảo vệ.
Lúc này bạn sẽ nghĩ làm thế nào để decrypt nó:
Nó sử dụng 1 thuật toán mã hóa giống như unix passwd file.
Bạn có thể tìm các tut về hack unix passwd để biết thêm.
Ta download :
"John the ripper", "Crackerjack", hay unix password cracker khác và chạy file với 1 wordlist tốt.
Kết thúc tut 1 tại đây.
Thanks [You must be registered and logged in to see this link.] đã có 1 bài tập hacking RHC5 về .htaccess .
