Zazwyczaj rzadziej logujemy się do strony niż do skrzynki e-mail. Łatwiej zatem zapomnieć hasła do panelu strony internetowej. W tym artykule pokażę jak odzyskać hasło w beznadziejnym scenariuszu, w który nie pamiętamy ani loginu, ani hasła ani nie mamy dostępu do skrzynki e-mail powiązanej z danym kontem…
Odzyskiwanie hasła Joomla!, które tutaj zaprezentuję należy wykorzystywać w ostateczności. Instrukcja ta jest opisana w oficjalnej dokumentacji Joomla!
Odzyskiwanie hasła Joomla za pomocą edycji bazy danych
Jedną z najprostszych metod na uzyskanie dostępu do panelu administratora jest edycja bazy danych. W tabeli „users” mamy rekordy przechowujące szczegóły o użytkownikach systemu. Bez wątpienia jednym z nich jest konto administratora.
Wystarczy teraz zmienić wartość kolumny password na:
d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
Spowoduje to, że teraz możemy się zalogować za pomocą widocznego loginu (username) z hasłem „secret”;
Niezwłocznie logujemy się do Joomla nowym hasłem:
Co prawda mamy już dostęp do panelu ale trzeba jeszcze zmienić hasło na własne. Obecne jest zbyt proste, tym bardziej że zautomatyzowane próby hakowania strony mogą wykorzystywać ten trik, który jak pamiętamy jest opublikowany w dokumentacji Joomla.
Klikamy w Użytkownicy i zmieniamy hasło na własne:
Atak siłowy (Brute Force) na system Joomla
Joomla! – jak każdy inny system CMS – bez dodatkowych zabezpieczeń (np. limitujących ilość prób logowania) jest podatna na atak siłowy. Jest on bardzo nieskuteczny przy długich hasłach ale matematycznie możliwy. Atak siłowy polega na testowaniu wszystkich możliwych haseł jakie da się wprowadzić z klawiatury. W końcu natrafimy na poprawne hasło. Są narzędzia do automatyzacji takich ataków np. BruteCMS czy THC Hydra.
Podsumowanie
Każdy system CMS umożliwia prosty reset lub zmianę hasła jeżeli dysponujemy dostępem do FTP lub bazy danych. Jeżeli nie mamy takiego dostępu zawsze możliwy jest atak słownikowy lub bruteforce.
Odpowiedz lub skomentuj