Как "вытянуть" файл .htaccess с сайта

Братья и сёстры! Надо посмотреть .htaccess файл с одного сайта. Как можно его оттедова вытянуть?

0

Сообщение от Тыр-тыр Как можно его оттедова вытянуть?

1) Узнать у кого есть доступ к сайту
2) Выследить его
3) Пытать пока не скажет пароль
4) Вытянуть нужный файл
5) ???
6) Profit

3

Добавлено через 44 секунды
Тыр-тыр, если нет доступа к файловой системе сайта - ничего не выйдет.

2

Сообщение от Para bellum Тыр-тыр, если нет доступа к файловой системе сайта - ничего не выйдет.

Как же так! Не может быть. Ведь файл лежит в www директории, где лежат и все другие доступные файлы, а не где-то там на серваке за пределами досягаемости (например как папка с cgi файлами находится в /cgi-bin/www).

А вот есть проги типа BlackWidow - никакая из подобных прог не может скачать? Я знаю, что именно BlackWidow неможет.

0

У некоторых и .htpasswd в корне сайта лежит. И что теперь по-вашему бери и пользуйся?

0

Вы хотите обойти систему безопасности Apache и получить скрытый файл .htaccess ?
Это взлом сайта и статья :-)
Ни один правильно настроенный веб-сервер вам этот файл не отдаст.

Возникает вопрос - зачем вам нужен этот файл при нормальной работе с веб-сервером ?

0

как сделаешь поделись опытом

0

Есть уязвимость которая на самом деле позволяет вытянуть данный файл, но хостинг должен быть на Windows, в иных случая пока известных схем не было

1

Сообщение от Катя Корникова не было

да были, на самом деле. К тому же, ТС не сказал, что там апач (а под nginx-ом не так уж сильно за этим и следят, хоть и в дефолтном конфиге защита от этого предусмотрена).
Тыр-тыр, современные веб-сервера -- штука немного посложнее, и настраиваются они гибче, чем просто отдавать или не отдавать файлы в определенной директории. Даже в nginx-е есть например, расширения для lua, на котором можно написать весь сайт, при этом в паблике не будет ни одного (!) файла. Ну или с SSI можно извратиться. Про монстров типа апача я вообще молчу.
По сути, в любом апаче, из конфига которого не удаляли дериктивы при попытке доступа к .ht(.*) файлам будет возвращен 403ий код, если они существуют, и 404ый, если его нет. Если на вашем сервере такое поведение неприемлимо, и вы хотите, чтобы все могли читать эти файлы, то можете удалить эти строчки.
Однако же, как обычно, из любых правил существуют и исключения. и дураков полно, но это не значит, что в конфигурации вашего конкретного сервера будут подобные дыры.

Сообщение от Тыр-тыр А вот есть проги типа BlackWidow - никакая из подобных прог не может скачать? Я знаю, что именно BlackWidow неможет.

Я так понимаю, это какой-то менеджер закачек с допольнительными функциями. И это конечно прикольно. Но, вы знаете, как работает веб-сервер? У него внутри есть определенная конфигурация, и в этой конфигурации, грубо говоря, прописано, что если некто присылает http-пакет с запросом на файл .htaccess, то его ни в коем случае отдавать нельзя, а нужно показать код ошибки. Это условие удаленно вы обойти не сможете, по крайней мере напрямую. С таким же успехом там может быть написано и "не отдавать картинки .jpg", или "не отвечать клиентам, у которых IP 11.22.33.44", или "клиентам, которые представляются IE 6ой версии, всегда показывать страницу-заглушку, чтобы они обновили свой браузер". И сделать это можно на уровне веб-сервера (правда, запрет на ип, например, зачастую можно сделать и на гораздо более раннем уровне маршрутизации пакетов внутри ос).
Ну а по поводу "программ для взлома" вообще: любая программа -- это лишь автоматизация какого-то алгоритма. Взлом происходит не из-за того, что программа -- такой молодец, а потому что человек знает, что в данном случае данный алгоритм с помощью данных баз может дать какой-то результат. Программа не может сделать ничего такого, чего не сделал бы человек. По крайней мере на данный момент, не существует программ типа "нажми кнопку -- и получи доступ"
То есть, как я уже сказал, подобный функционал заложен в веб-сервер изначально. Обойти его штатными средставми -- это все равно что поменять в конфигурации webroot на корневой каталог, и в результате считать все логины и пароли с сервера, например, из файлов /etc/passwd и /etc/shadow. Такой функционал, разумеется, можно заложить, но кому ж это нужно? Поэтому и .htacсess и .htpasswd, и некоторые другие файлы защищаются, и не видны никому, кроме администраторов сервера
Поэтому и ваш вопрос звучал несколько некорректно. Думаю, вы сначала попробовали нескольлькими способами, и у вас не получилось, а только потом уже стали задавать этот вопрос сюда. Поэтому с чего вы вообще решили, что его оттуда можно вытянуть? Если бы вы спросили, а вот вообще, в принципе, существует такая возможность или нет, с указанием того, какими способами (не программами, а способами) вы пытались это сделать, указали бы версию веб-сервера, с какой целью вам это надо (особенно, что в htaccess-е обычно не лежит crtitical sensetive информации, разве что попробовать для info discloure), какая cms используется на сайте (частенько, дефольные htaccess файлы никто не меняет, и возможно я, или кто-то другой просто бы нагуглил вам его содержимое), тогда и ответы на ваш вопрос были бы более содержательними, чем те, которые вы получили.

Сообщение от Тыр-тыр вопросов глупых не бывает, бывают глупые ответы

бывают и глупые вопросы. Например: "я зарегистрировался у вас на сайте и у меня на попе вскочил прыщ. Что делать?". И ваш вопрос отчасти глуп, потому что вы сами не захотели попробовать разобраться в той проблеме, о которой спрашивали. Следовательно, вам это, скорее всего, не так уж и нужно (хотя вы сами наверняка считаете по-другому, ваше право), поэтому и отвечающим тоже захотелось ответить ради просто так, посмеяться.

Сообщение от Dorbah Это взлом сайта и статья :-)

на самом деле, если атакующий лишь считал файл .htaccess, или даже просмотрел каталог, но ничего не модифицировал, не удалил, не узнал секретную информацию в виде хотябы "логин-пароль" (которой конкретно в этих файлах, как я уже сказал, пратически не бывает), или даже узнал, но никуда ее не сохранил, а сам забыл, то это не статья. Под неправомерным доступом в УК понимается лишь доступ к секретной информации, а не ко всей подряд. Кроме прочего, необходимо, чтобы произошло как минимум

уничтожение, блокирование, модификация либо копирование компьютерной информации

, иначе даже по п1 272 статьи, вам ничего не грозит. А напомню, что пока все еще под копированием в законе подразумевается именно копирование на другой носитель, а не просто прочитал и забыл.
Да, разумеется, атакующий рискует. Вдруг там будет инфа, которая составляет гостайну, там уже действуют немного другие законы. Возможно, также применение п3 272ой статьи, в случае, когда злоумышленник получил доступ к некоей внутренней информации компании/владельца сайта, использование которой само по себе причинит кому-то вред (например, номер карточки и ее cvc2 код), вполне вероятно, при наличии хороших адвокатов со стороны пострадавшего, которые смогут доказать что неправомерный доступ имел место быть. Но нужно доказать, что это -- действительно огромная угроза, и кроме того, нужно доказать, что злоумышленник все еще помнит то, что он видел. Иначе, чисто формально, он ничего не нарушил.
Сам по себе "взлом" не является правонарушением. А в сфере reverse engeneering, так он даже фактически разрешен явно, пп2-3 ст 1280 ГКРФ. Единственное, что -- нельзя эту модифицированную программу потом распространять, и в первую очередь, это должно делаться для изучения работы программы, а не с целью взломать защиту, но это уже другая история. В любом случае, если вы все это делаете для себя, ради интереса, а программа вами честно куплена -- то ваше право ее исследовать и убрать какую-нибудь ошибку, которую на ваш взгляд, допустил разработчик. Правда, это уже совсем другая история.

Короче, одним словом, на практике, чтобы была статья -- нужны убытки. Хотябы моральные. Вот если этот ваш htaccess файл подарила вам ваша любимая прабабушка, перед смертью, а злостный нарушитель взял и удалил его, тогда фигово. Или злоумышленник установил какой-то троян. Или получил данные пользователей с сайта банка, которыми он непосредстенно может воспользоваться для достижения прибыли (в том числе и продажа этой информации третьим лицам) -- это статья. Даже взлом+модификация css файла, чтобы верстка в вашем браузере "не ползла", и остальным вы не навредили при этом -- это тоже статья, потому что модификация. Да и любое исправление ошибок на сайте. Однако, взлом сервера, не влекущий за собой его модификацию или нарушение работы сайта -- нет. Чтение каких-то левых файлов, не представляющих никакой ценности, без их копирования -- тоже нет. Правда, в случае, если в файлах оказался, например, личный дневник админа, который он не хотел бы никому показывать, то есть информация предоставляет какую-то ценность для того админа, это уже можно классифицировать как преступление, и администратор может подать в суд. Правда, экспертиза достаточно дорогостоящая, и не факт, что взлом был осуществлен именно тем человеком, ip которого оказался в логах. А настоящий взломщик может оказаться китайцем, который вообще ничего не понял, ему интересно было лишь прочитать пару файлов для proof-of-concept, поэтому, на практике, доказать это сложно. Тем не менее, по российским законам, формально, он будет являться преступником.
Ну а с третьей стороны, взламывая что-либо практически невозможно быть уверенным в том, что вы никому не навредите, и ничего больше не сломаете (все же компьютерные системы достаточно сложны, и кто знает, вдруг именно ваш нуль-байт в конце строки повлечет за собой запуск ядерной ракеты), тем самым не нарушив п.1 272 УК, поэтому в "полевых" условиях делать этого не стоит. Благо, по теме ИБ проводится достаточное количество всяких соревнований и конкурсов, в которых помимо "прикольно, что это получилось"-эффекта, можно еще увидеть, как с подобными заданиями справляются другие, и познакомиться с кем-нибудь. А можно и не знакомиться, и не обращать внимания на других, тут уж как вам больше нравится

Сообщение от Катя Корникова Есть уязвимость которая на самом деле позволяет вытянуть данный файл, но хостинг должен быть на Windows

хм. можно ссылку на CVE?

1

Никак, если сервер правильно настроен, или хотя бы с настройками по умолчанию. А вообще грамотные люди, все что нужно прописывают в конфиг самого сервера а не в файл .htaccess. Файл .htaccess перечитывается при каждом запросе, а это глупый расход ресурсов, пусть и не большой, хотя зависит о содержания этого самого файла. И любой грамотный админ это понимает. Но это при условии что вы владелец сервера, или имеете к нему полный доступ.

0

0

Сообщение от iMacintosh Файл .htaccess перечитывается при каждом запросе

не совсем, там есть некая система кеширования, во всяком случае когда работал на некоторых серверах, я встречал такое, что настройки обновляются не сразу. Почему -- не знаю, тогда об этом не задумывался, а сейчас у меня нет доступа к тем серверам, да и на самом деле не очень интересно, почему.
Впрочем, даже для постоянно обновления настроек достаточно апачевскому мастер-процессу подписаться на inotify-события от операционки (под виндой тоже вроде что-то такое есть), чтобы знать, когда создаются или модифицируются определенные файлы. В конце концов, даже если платформа не позволяет это узнать, достаточно просто время от времени узнавать mtime для этих файлов. И делается это параллельно, в фоне, не влияя на работу "рабочих" процессов. Впрочем, вероятно, поэтому настройки на тех серверах и не обновлялись вот так прям сразу...
Так что накладные расходы там на самом деле крайне минимальны.


Добавлено через 5 минут

0

не используют апач!

Тоже правильно, я так понимаю речь идет об nginx? Я у себя на сервере использовал такую связку nginx frontend apache backend Тогда мне это показалось более правильным, тоже думал отказаться от apache, что-то там покопался, покопался, помню там были свои костыли и минусы, та и nginx я слабовато знал, так и оставил эту связку, но давно уже слышал что многие перешли полностью на nginx. А вообще я прям профессионально не занимался администрированием серверов, изучал для себя, и настраивал практически только для своих целей, так как занимался разработкой сайтов и т.д. Был свой сервак, и он отлично и долго работал. Сейчас подзабросил, так иногда сижу что-то пишу для себя, для души и все, нет времени, работа и все такое.

0

Уж не знаю как там со статьями, но мне бы не понравилось отдавать на чтение исходники сайта, а настройки сервера можно таковыми считать. Так что это взлом, а его обсуждение запрещено правилами форума. Прикрываю

0