Foro de elhacker.net

Un saludo a todos.

Tengo acceso a una carpeta ../wp-admin/ de una web, como puedo aprovechar esta mala configuración?
Supongo que  de algo servirá, pues puedo ver la mayoría de los .php (setting, users, admin, theme, ....)

Tengo que avisar que ando junto de php, aunque algo entiendo :-)

¿A que te refieres cuando dices que la tienes al descubierto?

Supongo que podrás listar todos los ficheros de ese directorio, en ese caso poco puedes hacer.

Si te sirve de algo, puedes obtener un Full Path Disclousure, pero eso se puede hacer en la mayoría de los Wordpress.

el caso es que tengo acceso a muchas, en algunas , en el documento "admin.php" tienen declarado db_connect, con su host, pass, user, db_name. El 99% de las veces es localhost pero en alguna no.

Pensé que teniendo acceso a esta carpeta, se podría encontrar algún documento php en la que saliera la lista de user, pass, o  algún dato que fuera importante

En todos los wordpress se pueden ver el wp-admin y no es nungun secreto los archivos que traen, de hecho puedes descargar todos los archivos desde acá:
http://wordpress.org/download/

Ahora, si puedes ver el archivo de configuraciones y ver los valores que tiene dentro es otro tema, pero que veas carpetas o archivos que todo el mundo tiene no tiene nada de fantastico.

De hecho si descargas el sistema de foros smf podrás saber todos los archivos que tiene este mismo foro, pero de ahi a que puedas acceder es otro tema.

lo entiendo, pero los que puedo ver son las configuraciones de cada una de las web's.

aah en ese caso intenta acceder al servidor mysql de cáda sitio, mas de alguna te va a conectar.