Du bist nicht angemeldet.

 

Board Hack

Lieber Besucher, herzlich willkommen bei: Gardh en Teliad. Falls dies dein erster Besuch auf dieser Seite ist, lies bitte die Hilfe durch. Dort wird dir die Bedienung dieser Seite näher erläutert. Darüber hinaus solltest du dich registrieren, um alle Funktionen dieser Seite nutzen zu können. Benutze das Registrierungsformular, um dich zu registrieren oder informiere dich ausführlich über den Registrierungsvorgang. Falls du dich bereits zu einem früheren Zeitpunkt registriert hast, kannst du dich hier anmelden.

DoctorDeath

unregistriert

1

Sonntag, 17. Juni 2007, 13:23

Board Hack

Hallo liebes GET-Team, insbesondere möchte ich aber die hier "arbeitenden" Webmaster ansprechen.

Ich habe mich ein bisschen mit dem Thema "hacking" "exploiting" und "sicherheit" beschäftigt und mal einige Board´s nach Sicherheitslücken gescannt. Da ist mir euer Board aufgefallen. Es war mir gestern nacht gegen 01.00 uhr oder 02.00 uhr möglich zugriff zu "Makaan" seinem account zu erhalten. Dafür brauchte ich nichtmal 5 Minuten, als ich den Hash seines md5 verschlüsselten Passwortes hatte, konnte ich mich via cookie faking mit seinem Account einloggen (nicht ins ACP). Der nächste Schritt war die Hash´s beider Administratoren (die ich jetzt nicht poste) zu cracken. Da ich keinen schaden anrichten wollte habe ich nur den hash von "Makaan" gecrackt. Als dies beendet war hatte ich auch zugang zum Acp, wo ich freigeschalten habe das es Administratoren erlaubt ist avatare mit der endung .php hochzuladen. Dies machte ich dann auch. Ich lud 2 rootshells hoch womit ich den kompletten zugang zu euren Script files bekommen habe. Es war mir außerdem möglich ein backup euer Datenbank zu laden, ich hätte somit euer script 1 zu 1 ripen können. Da ich nicht auf sowas aus bin, habe ich die 25mb Große Datenbank wieder gelöscht. Die beiden rootshells befinden sich im /images/avatars/ Ordner wo ja nur 2 php datein drin sein sollten. Ich hoffe das ich durch meine "aufklärung" kein Brief von eurem Anwalt bekommen werde. Falls ihr fragen bezüglich der schließung dieser Sicherheitslücke habt, könnt ihr euch gerne bei mir über icq melden (257521055)

Abschließend bitte ich "Makaan" schnellstens sein Passwort zu ändern.

Mit freundlichen Grüßen

Norman Fischer aka DoctorDeath

Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von »DoctorDeath« (17. Juni 2007, 13:23)

Eps

CAPSLOCKUNLEASHTHEFURY

Beiträge: 1 164

  • Private Nachricht senden

2

Sonntag, 17. Juni 2007, 13:43

Habs mal weitergeleitet. Danke. ;)
cooler Typ.

Mogus

Administrator

Beiträge: 1 880

  • Private Nachricht senden

3

Freitag, 22. Juni 2007, 18:37

Grüße ^^ hier ist der eigentliche Betreiber des Boards.

Wenn du einige Boards getestet hast, wird dir das wbb vertraut sein. Ein Blick auf die Versionsnummer (2.3.3) sollte einem Aushängeschild "KNACK MICH, ICH BIN HILFLOS" gleichkommen :doh:
Zudem bin ich unter der Woche nicht erreichbar, konnte daher leider nicht reagieren

Das wbb ist dafür bekannt, viele Löscher zu haben. Dein Hinweis an Makaan, die Suchfunktion für Gäste zu deaktivieren, bringt leider nur relativ wenig. Es wäre einer von vielen Wegen,d er gesperrt wäre. Einfacher wäre das Update auf die stabilere Version 2.3.6 und zudem der Einbau des SecurityMods.

Der ganze Aufwand war es mir bisher allerdings nicht wert, da diese Seite bis auf vielleicht einige Hordler-Gilden keine "Feinde" in dem Sinne hat. Sicher, als guter Webmaster sollte man immer alles richtig machen und aktuell halten. Da ich das Forum im vorigen Monat mit Server-Updates überflutet habe und mich um mein eigenes Projekt zur zeit kümmere, kam das Gildenboard zu kurz, werde ich dann dieses Wochenende nachholen.

Den Anwalt werde ich nicht einschalten, war ja "nett" gemeint ;) Mit Version 2.3.6 ist schon etwas mehr an Aufwand nötig.


MfG MoG
Just Testing

DoctorDeath´

unregistriert

4

Montag, 25. Juni 2007, 01:34

Hey, jo das mit version 2.3.6 sollte bisschen "kompilizierter" sein aber machbar ;-) ich hab ja ka ob ihr Lizenz habt, aber wenn nich, kann ich euch bzw dir auch die pl1 und pl2 updates geben, da ist dann nichts mehr mit exploits.

Mogus

Administrator

Beiträge: 1 880

  • Private Nachricht senden

5

Montag, 25. Juni 2007, 08:47

ich bin quasi woltlab-marker und lass alle foren hier über eine sammellizenz laufen :D ich habe bereits unter /get2/ ein 2.3.6 eignerichtet und die datenbank eingespielt, allerdings werden meine beiträge ab dem 15.04. nicht mehr angezeigt, genauso die von thearc, ein fehler, den ich bis jetzt nicht verstehe.

ich sehe weiterhin keinen sinn darin, unsere gildenseite hier gegen kindische spielerein zu sichern ;) bei dieser forenversion ist ein update mit einigem an aufwand verbunden, was der sache kaum gerecht wird. diese seite existiert schon recht lange und war bisher kein ziel irgendwelcher angriffe und das wird es auch wohl kaum sein.

sollte es wieder zu einem angriff kommen, schleuse ich das board auf mein wcf um und mach ein upgrade auf wbb3, dann hat sich die sache, dabei ginge allerdigns der style des boards verloren, inklusive kleinerer extras, die nachprogrammiert werden müssten.


@DoctorDeath': Dein hinweis mag nett gewesen sein, aber du hast dich trotzdem strafrechtlich schuldig gemacht. sollte es in absehbarer zeit wieder einen angriff geben, wird der verdacht direkt auf dir liegen und diesmal werden konsequenzen gezogen. das löschen der avatare fand zumindest ich nicht sonderlich witzig, ebensowenig den gebrauch von fertigen wbb-hacks, die es wie sand am strand gibt ;)


mfg mog
Just Testing

DoctorDeath´

unregistriert

6

Dienstag, 26. Juni 2007, 22:00

Ich habe weder Avatare gelöscht noch sontigen "Schaden" angerichtet. Wenn in nächster Zeit euer Board "gehackt" werden sollte ist es nicht meine Schuld! Ich hoffe ihr bzw du bist dann in der Lage die IP´s von meiner zu Unterscheiden, ich habe beim ersten "Angriff" kein Schaden angerichtig, warum sollte ich beim "zweiten angriff" (warum ich den auch machen sollte) irgentwelche Daten löschen. Wenn Zerstörung meine Absicht gewesen währe, würde hier kein Board mehr sein, denn ich hatte die Möglichkeit dazu!

Mogus

Administrator

Beiträge: 1 880

  • Private Nachricht senden

7

Freitag, 29. Juni 2007, 17:34

Es ist mir relativ Hupe,was deine Absichten gewesens ein mögen ^^ Fakt ist, dass die Avatare allesamt gelöscht wurden, FTP-Zugriff haben nur Makaan und ich (und du :p)

So far, closed.
Just Testing