 |
السلام عليكم و رحمة الله و بركاته ..
أثناء تجربتي لأحد السكريبتات استخلصت منه طريقة إنشاء حساب على WHM (Cpanel) من دون حاجة على الدخول للوحة الأساسية ، و إنما عن طريق ملف php.
طبعاً الملف بسيط جداً ولم أقم بعمل أي تصميم فيه ، و إنما طريقة برمجية موجود و هنالك متغيرات يجب تغييرها بما يستوجب و سيعمل الكود بشكل صحيح إن شاء الله و سيعطيك Success في حال نجاح العملية .
تقبلوا تحياتي ..
__________________
إن كان الكلام من فضة ، فالسكوت من ذهب
ما شاء الله .. يعطيك ألف عافية على السكربت وجاري التجربة ..
تحياتي لك
- طارق
__________________
Tarek B.Dahawy
في الخدمة ..
هل هنالك من جرب الملف ؟
إن كانت هنالك أخطاء معينة أتمنى عرضها.
قمت بتجربة على نظام enom بطريقة مشابهة لهذه و عن طريق تعديل بعض الأمور البسيطة في برنامجهم المعروض في الموقع تمكنت من تطبيق ما يمكن تطبيقه عن طريق السكريبت الموجود لديهم ، لكن دون الحاجة إلى وجود mod_ssl أوOpenSSL . حيث قمت بإرسال الطلب عبر http العادي و ليس عبر ssl .
لم أقم بإكمال أي كود لهذه العملية و إنما تجارب، ولكنها ناجحة و الحمد لله.
حالما أتأكد منها سأقوم بإذن الله بعرضها هنا.
__________________
إن كان الكلام من فضة ، فالسكوت من ذهب
أهلا أبو كامل فكرة وترجبة مفيدة خصوصاً أننا نعمل على جعل برنامج المنظم www.ALMNZM.com يفتح حسابات ويعدل ببيانات العملاء بالاتصال مباشرة بلوحة تحكم السيرفر WHM ...
أيضاً نعمل على تطوير قسم اسم النطاق بالمنظم لجعلة يقوم بعمليات مباشرة باتصاله بموقع eNom وننتظر نتيجة تجاربك القادمة..
بالتوفيق
__________________
======================
| توب لاين - مؤسسة رسمية معتمدة.
| عروض مميزة ومناسبة للجميع.
| تصاميم احترافية وبرمجة متقنة.
| www.TL4S.com.sa
:nice: :nice: :nice: :nice: :nice: :nice:
جاري تحويله إلى قائمة إضافية لمجلة e107 المعربة ، تحياتي لك ....
__________________
لا تطمعن في كرم من غرته شهرته ، فقد نسي انه بالأمس نجح بكرم الاخرين
e107 المعربة www.e107arabic.org
شبكة الباتشات و السوفتوير www.all-patch.org
شركة استضافة مغربية www.naja7host.com
شباب الطريقة هذي مو امنة بالمرة
السي بنل عندهم نظام اي بي اي يستخدم الهاش
و هذا سكيورد افضل من وضع باسورد السيرفر بالملف
لان المخترق يقدر يسحب المتغيرات الي بالملف و يعرف باسورد السيرفر
100%المشاركة الأصلية كتبت بواسطة Sn3s
السي بنل عندهم نظام اي بي اي يستخدم الهاش
و هذا سكيورد افضل من وضع باسورد السيرفر بالملف
لان المخترق يقدر يسحب المتغيرات الي بالملف و يعرف باسورد السيرفر
والافضل والـ آآمن استخدام خاصية Remote access key في مثل هذي السكربتات بربط السكربت مع لوحة التحكم
بالتوفيق أخي ابو كامل
تحياتي ,,
__________________
سعودي بروفايدر
www.saudiprovider.net
المبيعات : sales@saudiprovider.net
الدعم الفني : support@saudiprovider.net
خدمة العملاء : info@saudiprovider.net
السلام عليكم
وكمثال بالبيرل
http://ursite.com:2086/cpanel-autosignup.tar.gz
خالص التحية
__________________
Amr Elgbaly
System Engineer
نعم اخواني الأعزاء ..
ما ذكرتموه حول المشاكل الأمنية التي قد يواجهها الشخص بسبب عرض المتغيرات في الملف ..
لكن هي كتجربة و كبداية قد تكسر الجمود الذي يحيط هذا الموضوع .
سأحاول التعامل مع السيرفر من خلال ما ذكرتموه و قمت بإنزال نسخة من الملف و سأرى ما يمكن عمله حول هذا الموضوع ..
و في نفس الوقت لا أعتقد أن عملية سحب المعلومات من الملف عملية سهلة ، فهي تحتاج لاختراق الموقع لكي تحصل على الملف وبالتالي الحصول على معلومات السيرفر ، و كما يمكنك عمل class في مكان منفصل و عمل ملف وسيط بين البرنامج و برنامج انشاء المعلومات .
سأطلعم على تجاربي قريباً ..
__________________
إن كان الكلام من فضة ، فالسكوت من ذهب
سلام عليكم ..
قمت بالبحث عن ملف php مخصص للعملية فوجدت أن الcpanel أرفقت ملف موجود في الدليل :
/usr/local/cpanel/Cpanel/
اسم الملف : Accounting-class.php.inc
استخدمته انا في تجربتي ونجح ..
قم بانزاله من السيرفر لديك من هذا الباث ، و ضع في مجلد مع الملف المرفق Index.php ، و قم بتجربته بعد ان تنشأ accesshash وتضعها في المكان المناسب .
بالنسبة لي أجد أنه بإمكان المخترق أيضاً أن يقوم بإيجاد هذا الملف ومن ثم سرقة الهاش واستخدامها بطريقة معينة ، يحث انه لا رقيب حسب ما وجدت حول تنظيم عمليات الدخول من اي سيرفر ؟
إن أمكن من الأخوان اخباري إن امكن تحديد ip معين من خلال السيرفر للسماح له هو فقط للتعامل مع هذا الaccesshash.
شكراً ..
الملف مرفق
__________________
إن كان الكلام من فضة ، فالسكوت من ذهب
فطرة ايبي معين قد لا تنجح ، فمثلا بلمغرب حسابات ال adsl كلما تقوم بالاتال تحصل على ايبي معين ، و عند معاودة الاتصال تحصل على ايبي مخالف لقبله و هكذا ...
و لكن السكريبتات الاخرى ماذا تستخدم كطريقة للتواصل مع cpanel ؟؟ أكيد هناك طريقة اتصال معينة .....
فانا لم اجرب اي سكريبت من سكريبتات الاستضافة ..... و ننتظر اصحاب التجربة ...
__________________
لا تطمعن في كرم من غرته شهرته ، فقد نسي انه بالأمس نجح بكرم الاخرين
e107 المعربة www.e107arabic.org
شبكة الباتشات و السوفتوير www.all-patch.org
شركة استضافة مغربية www.naja7host.com
لي فكرة قد تكون مساعد ة ن و هو استخدام remote_access_key ،
لكن هذا لن يكون عن طريق الملفات ، نقوم بحفظ هذا المتغير في قاعدة البيانات و ليس في ملف كونفيج ، و كبعا اثناء عملية التنفيذ سيتم المناداة عليه علية بواسطة السكريبت ...
و بهذه الطريقة حتى لو حصل على احد على معلومات السيرف لن يتمكن من دخوله بدون استخدام remote_access_key ....
مجرد فكرة
__________________
لا تطمعن في كرم من غرته شهرته ، فقد نسي انه بالأمس نجح بكرم الاخرين
e107 المعربة www.e107arabic.org
شبكة الباتشات و السوفتوير www.all-patch.org
شركة استضافة مغربية www.naja7host.com
ستبقى المشكلة قائمة إخواني ..
فلو كان في القاعدة أو على ملف ، بإمكان المخترق الحصول عليه في الحالتين و العمل عليه،
أعتقد أن الcpanel بها نظام فلترة خاصة بالip و أقصد بذلك لو قمت بتركيب السكريبت على سيرفرك فلابد أن له ip، تضع هذا الآيبي في مكان ما في whm. حتى يمنع الإتصالات التي تأتي من غير هذا الip.
أعتقد أنني وجدت المكان المقصود لكن بصراحة لم أقم بتجربته.
و لازلت أعتقد أن وضع الباسوورد في الملفات في حد ذاته لا يسبب مشكلة، فمثلاً نظام enom ، يوجب عليك وضع الusername و الpassword ، في كل عملية تطلبها عبر API الخاص بهم. فكيف يمكنني حل هذه المشكلة ؟
__________________
إن كان الكلام من فضة ، فالسكوت من ذهب
الموضوع مشروح بكل بساطة من اوائل تطبيقات السي بانل و معظم السكريبتات لادارة المواقع تستخدمها
عن طريق php
http://www1.cpanel.net/remoteaccess-php.html
عن طريق perl
http://www1.cpanel.net/remoteaccess-php.html
و مشروح فيها الدالات و المتغيرات التي يمكن استخدامها و ايضا النصائح الامنية
تحياتي
__________________
استضافة مواقع + ريسلر استضافة + ريسلر دومينات + سيرفرات خاصة
http://boostdomain.com
http://bah2day.com
ضوابط المشاركة
رد مع اقتباس