Антиддос-защита, обход.

Discussion in 'Уязвимости CMS/форумов' started by FSBKGB, 25 Feb 2017.

  1. FSBKGB

    FSBKGB New Member

    Joined:
    21 Feb 2017
    Messages:
    1
    Likes Received:
    0
    Reputations:
    0
    Приветствую уважаемые. Как уже говорил, у нас есть небольшая группа людей шарящих в теме, и в целях моего образования мне выдали задание на один полудохлый форум на платформе IPB 3.4. Вредить не собираюсь, сразу говорю чтобы претензий не было. Просто в качестве шутки и самообразования.
    Доступа в админку нет.

    Что удалось сделать:
    1. Добрался до ихнего апдейтера, в принципе можно сбрутить пароль администратора. Но это сложно и займет много времени. Плюс есть обстоятельство о котором позже.
    2. С помощью нетворк-анализатора(CyDNetworkUtilities) нашел лазейки для закладки SQL-инжект. Версия форума старая, обновляется редко. Администраторы в целом профаны.
    3. Havij никак не может добраться до базы и определить ее. Потому что, внимание, обстоятельство -
    у них стоит антиддос-защита и обращение изначально идет не по реальному IP ресурса, а к ddos-guard.net и соответственно даже при наличии софта обойти ограничение не получается.

    Теперь вопрос. Как обойти защиту и пробраться в админку и слить базу?
    Знаю нубский вопрос, но я в команде только учусь(специализация Unix-системы) и это лишь один из моих первых опытов. Подбор софта осуществлял сам, как часть задания.

    Ответы можно в ПМ, а можно сюда. Без разницы.
     
Loading...