Gardh en Teliad » Gilde » Fragen » Board Hack » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag Druckvorschau | An Freund senden | Thema zu Favoriten hinzufügen
Neues Thema erstellen Thema ist geschlossen
Zum Ende der Seite springen Board Hack  
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
DoctorDeath
unregistriert
Board Hack Antworten | Zitat | Editieren | Melden       [Go]

Hallo liebes GET-Team, insbesondere möchte ich aber die hier "arbeitenden" Webmaster ansprechen.

Ich habe mich ein bisschen mit dem Thema "hacking" "exploiting" und "sicherheit" beschäftigt und mal einige Board´s nach Sicherheitslücken gescannt. Da ist mir euer Board aufgefallen. Es war mir gestern nacht gegen 01.00 uhr oder 02.00 uhr möglich zugriff zu "Makaan" seinem account zu erhalten. Dafür brauchte ich nichtmal 5 Minuten, als ich den Hash seines md5 verschlüsselten Passwortes hatte, konnte ich mich via cookie faking mit seinem Account einloggen (nicht ins ACP). Der nächste Schritt war die Hash´s beider Administratoren (die ich jetzt nicht poste) zu cracken. Da ich keinen schaden anrichten wollte habe ich nur den hash von "Makaan" gecrackt. Als dies beendet war hatte ich auch zugang zum Acp, wo ich freigeschalten habe das es Administratoren erlaubt ist avatare mit der endung .php hochzuladen. Dies machte ich dann auch. Ich lud 2 rootshells hoch womit ich den kompletten zugang zu euren Script files bekommen habe. Es war mir außerdem möglich ein backup euer Datenbank zu laden, ich hätte somit euer script 1 zu 1 ripen können. Da ich nicht auf sowas aus bin, habe ich die 25mb Große Datenbank wieder gelöscht. Die beiden rootshells befinden sich im /images/avatars/ Ordner wo ja nur 2 php datein drin sein sollten. Ich hoffe das ich durch meine "aufklärung" kein Brief von eurem Anwalt bekommen werde. Falls ihr fragen bezüglich der schließung dieser Sicherheitslücke habt, könnt ihr euch gerne bei mir über icq melden (257521055)

Abschließend bitte ich "Makaan" schnellstens sein Passwort zu ändern.

Mit freundlichen Grüßen

Norman Fischer aka DoctorDeath

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von DoctorDeath: 17.06.2007 14:23.

17.06.2007 14:23
Eps Eps ist männlich
CAPSLOCKUNLEASHTHEFURY

images/avatars/avatar-348.png

Beiträge: 1.141
   [Rezepte]   [Wunschliste]
Eps
Lvl 80
Paralyse
Lvl 85

Antworten | Zitat | Editieren | Melden       [Go]

Habs mal weitergeleitet. Danke. Augenzwinkern

__________________
cooler Typ.
17.06.2007 14:43 Eps ist offline Email | Suche | Profil |
Mogus Mogus ist männlich
lakonisches Frettchen


images/avatars/avatar-140.gif

Beiträge: 919
   [Rezepte]   [Wunschliste]
Mogus
Lvl 85
Mogorius
Lvl 85
Mograr
Lvl 72

Antworten | Zitat | Editieren | Melden       [Go]

Grüße ^^ hier ist der eigentliche Betreiber des Boards.

Wenn du einige Boards getestet hast, wird dir das wbb vertraut sein. Ein Blick auf die Versionsnummer (2.3.3) sollte einem Aushängeschild "KNACK MICH, ICH BIN HILFLOS" gleichkommen
Zudem bin ich unter der Woche nicht erreichbar, konnte daher leider nicht reagieren

Das wbb ist dafür bekannt, viele Löscher zu haben. Dein Hinweis an Makaan, die Suchfunktion für Gäste zu deaktivieren, bringt leider nur relativ wenig. Es wäre einer von vielen Wegen,d er gesperrt wäre. Einfacher wäre das Update auf die stabilere Version 2.3.6 und zudem der Einbau des SecurityMods.

Der ganze Aufwand war es mir bisher allerdings nicht wert, da diese Seite bis auf vielleicht einige Hordler-Gilden keine "Feinde" in dem Sinne hat. Sicher, als guter Webmaster sollte man immer alles richtig machen und aktuell halten. Da ich das Forum im vorigen Monat mit Server-Updates überflutet habe und mich um mein eigenes Projekt zur zeit kümmere, kam das Gildenboard zu kurz, werde ich dann dieses Wochenende nachholen.

Den Anwalt werde ich nicht einschalten, war ja "nett" gemeint Augenzwinkern Mit Version 2.3.6 ist schon etwas mehr an Aufwand nötig.


MfG MoG
22.06.2007 19:37 Mogus ist offline Email | Suche | Profil | Fügen Sie Mogus in Ihre Kontaktliste ein MSN Passport-Profil von Mogus anzeigen
DoctorDeath´
unregistriert
Antworten | Zitat | Editieren | Melden       [Go]

Hey, jo das mit version 2.3.6 sollte bisschen "kompilizierter" sein aber machbar ;-) ich hab ja ka ob ihr Lizenz habt, aber wenn nich, kann ich euch bzw dir auch die pl1 und pl2 updates geben, da ist dann nichts mehr mit exploits.
25.06.2007 02:34
Mogus Mogus ist männlich
lakonisches Frettchen


images/avatars/avatar-140.gif

Beiträge: 919
   [Rezepte]   [Wunschliste]
Mogus
Lvl 85
Mogorius
Lvl 85
Mograr
Lvl 72

Antworten | Zitat | Editieren | Melden       [Go]

ich bin quasi woltlab-marker und lass alle foren hier über eine sammellizenz laufen großes Grinsen ich habe bereits unter /get2/ ein 2.3.6 eignerichtet und die datenbank eingespielt, allerdings werden meine beiträge ab dem 15.04. nicht mehr angezeigt, genauso die von thearc, ein fehler, den ich bis jetzt nicht verstehe.

ich sehe weiterhin keinen sinn darin, unsere gildenseite hier gegen kindische spielerein zu sichern Augenzwinkern bei dieser forenversion ist ein update mit einigem an aufwand verbunden, was der sache kaum gerecht wird. diese seite existiert schon recht lange und war bisher kein ziel irgendwelcher angriffe und das wird es auch wohl kaum sein.

sollte es wieder zu einem angriff kommen, schleuse ich das board auf mein wcf um und mach ein upgrade auf wbb3, dann hat sich die sache, dabei ginge allerdigns der style des boards verloren, inklusive kleinerer extras, die nachprogrammiert werden müssten.


@DoctorDeath': Dein hinweis mag nett gewesen sein, aber du hast dich trotzdem strafrechtlich schuldig gemacht. sollte es in absehbarer zeit wieder einen angriff geben, wird der verdacht direkt auf dir liegen und diesmal werden konsequenzen gezogen. das löschen der avatare fand zumindest ich nicht sonderlich witzig, ebensowenig den gebrauch von fertigen wbb-hacks, die es wie sand am strand gibt Augenzwinkern


mfg mog
25.06.2007 09:47 Mogus ist offline Email | Suche | Profil | Fügen Sie Mogus in Ihre Kontaktliste ein MSN Passport-Profil von Mogus anzeigen
DoctorDeath´
unregistriert
Antworten | Zitat | Editieren | Melden       [Go]

Ich habe weder Avatare gelöscht noch sontigen "Schaden" angerichtet. Wenn in nächster Zeit euer Board "gehackt" werden sollte ist es nicht meine Schuld! Ich hoffe ihr bzw du bist dann in der Lage die IP´s von meiner zu Unterscheiden, ich habe beim ersten "Angriff" kein Schaden angerichtig, warum sollte ich beim "zweiten angriff" (warum ich den auch machen sollte) irgentwelche Daten löschen. Wenn Zerstörung meine Absicht gewesen währe, würde hier kein Board mehr sein, denn ich hatte die Möglichkeit dazu!
26.06.2007 23:00
Mogus Mogus ist männlich
lakonisches Frettchen


images/avatars/avatar-140.gif

Beiträge: 919
   [Rezepte]   [Wunschliste]
Mogus
Lvl 85
Mogorius
Lvl 85
Mograr
Lvl 72

Antworten | Zitat | Editieren | Melden       [Go]

Es ist mir relativ Hupe,was deine Absichten gewesens ein mögen ^^ Fakt ist, dass die Avatare allesamt gelöscht wurden, FTP-Zugriff haben nur Makaan und ich (und du :p)

So far, closed.
29.06.2007 18:34 Mogus ist offline Email | Suche | Profil | Fügen Sie Mogus in Ihre Kontaktliste ein MSN Passport-Profil von Mogus anzeigen
Baumstruktur | Brettstruktur
Gehe zu:
Neues Thema erstellen Thema ist geschlossen
Gardh en Teliad » Gilde » Fragen » Board Hack

Forensoftware: Burning Board 2.3.3, entwickelt von WoltLab GmbH
Coding by Mogus, Design by Eps
hosted by comasu.de