Wer kann es hacken? Test eines Loginscripts.
lima-city → Forum → Die eigene Homepage → Sicherheit im Internet
attacke
bedeutung
benutzer
benutzername
board
datei
daten
endstand
falsche login
force
knack
leichtigkeit
login
ordner
productions
sinnen
sperren
verfahren
zauberwort
zeichenkette
-
Also ich habe hier mal ein kleines Downloadscript mit einer Login-Sperre versehen. K?nnt ihr mal versuchen es zu hacken? Falls ihr es schafft, schreibt mich bitte unter ICQ an: 31290132
Die URL ist: http://luziver.milten.lima-city.de/down/download.php
Also viel Spass euch und bitte teilt es mir mit, wenn ihr es schafft und sagt mir wie ihr es gemacht habt.
Luziver -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage
-
da kann man doch niks hacken was willst du ?berhaupt hacken lassen,was brauchst du,auserdem ist das doch kein richtiges script
-
da kann man doch niks hacken was willst du ?berhaupt hacken lassen,was brauchst du,auserdem ist das doch kein richtiges script
1. Was stellst du dir normalerweise unter einem Script vor?
2. Was man da hacken kann will ich ja von dir wissen.
Luziver -
er will das script hacken lassen, um zu den login daten zu kommen!
Es ist eigentlich unhackbar, da man nichts aus dem source herrauslesen kann!
Gut gemacht...
-
da kann man niks hacken da kan man in nicks von niks eindringen da muss man halt nur gl?ck haben und alles richtig eintippen^^
-
Du k?nntest noch eine IP-Sperre einbauen. Also, dass wenn von einer IP 3x falsche Login-Daten kommen diese IP f?r 24 h gesperrt wird, sonst k?nnte man eine Brute-Force Attacke dr?berlaufen lassen, wenn man genug Zeit hat.
-
Was ich so gesehen habe wird es wohl nicht gehen. Da gar keine Verbindung zum Mysql Server aufgenommen wird.
Konnte allerdings rausfinden das, dass Script von http://www.homepage-productions.de/ ist (durch die footer.php) und von dort aus hab ich mir dann den Quellcode mal runtergeladen und auf diese Datei gestossen http://luziver.milten.lima-city.de/down/download/admin/benutzer_eintragen.php.
Dort w?re es dann ansich eine Leichtigkeit gewesen einfach einen neuen Benutzer anzulegen, wenn eine Verbindung zum Mysql Server da w?re. -
Eine Brute Force Attacke ist allerdings so gut wie aussichtslos. Sollte das Passwort genug stellen besitzten und es ein langer Benutzername sein, so kann das Jahre dauern, bis man da mal die richtige Kombination rauss hat!
So das Script wurde gehackt ! K?nntest den Admin-Ordner noch mit .htaccess sch?tzten, aber ich glaube des darf man auf Lima-City ja nich... -
So das Script wurde gehackt ! K?nntest den Admin-Ordner noch mit .htaccess sch?tzten, aber ich glaube des darf man auf Lima-City ja nich...
Jo das mit dem hataccess ist schade, aber kannst du mir ?ber ICQ bitte sagen wie du es geschafft hast?
Luziver -
Was ich so gesehen habe wird es wohl nicht gehen. Da gar keine Verbindung zum Mysql Server aufgenommen wird.
Konnte allerdings rausfinden das, dass Script von http://www.homepage-productions.de/ ist (durch die footer.php) und von dort aus hab ich mir dann den Quellcode mal runtergeladen und auf diese Datei gestossen http://luziver.milten.lima-city.de/down/download/admin/benutzer_eintragen.php.
Dort w?re es dann ansich eine Leichtigkeit gewesen einfach einen neuen Benutzer anzulegen, wenn eine Verbindung zum Mysql Server da w?re.
Hm wie hast du das da draugekriegt?
bitte per ICQ melden.
Luziver -
zauberwort sind hackscripte die den eingebenen benutzernamen und pw herausfiltern aber das ist sehr aufwendig sowas auf deine script zu ?bertragen aber es ist machbar macht aber bestimmt keiner weil hinter deinem login eh nichts wichtiges liegt , liegen sollte was andere interessiert.
-
Hm allgemein kan mann doch eh ka php login sqript hacken!!!
Mit den richtigen Programmen udn Kentnissen ist im Computerbereich ALLES m?glich! Ich betone ALLES! Wenn du dich nur gut genug auskennst und auch ein paar Programme zur Hand hast kann man ohne weiteres beispielweise ein phpBB Board hacken, bzw. die Unix verschl?sselten Passw?rter durch ein Tool wie UnJack wieder zur?ckversetzen auf den Endstand, ist alles kein Problem. -
Hm wie hast du das da draugekriegt?
bitte per ICQ melden.
Luziver
Du hast Post, werd mich sp?ter noch bei dir in Icq melden.
Hm allgemein kan mann doch eh ka php login sqript hacken!!!
Klar, es gibt so viele verschiedene M?glichkeiten das sogar immer wieder neue erfunden werden. Somit kann man sich auch nicht gegen alles sch?tzen.
zauberwort sind hackscripte die den eingebenen benutzernamen und pw herausfiltern aber das ist sehr aufwendig sowas auf deine script zu ?bertragen aber es ist machbar macht aber bestimmt keiner weil hinter deinem login eh nichts wichtiges liegt , liegen sollte was andere interessiert.
Du redest wohl von Brute Force Attacken, naja aufwendig nicht, die Ausf?hrung dauert halt lang, zumal es den Lima City Server nicht gerade freuen wird.
-
Du k?nntest noch eine IP-Sperre einbauen. Also, dass wenn von einer IP 3x falsche Login-Daten kommen diese IP f?r 24 h gesperrt wird, sonst k?nnte man eine Brute-Force Attacke dr?berlaufen lassen, wenn man genug Zeit hat.
Das ist eine Idee, das versuch ich noch. Kann mir jemand ein Script sagen, welches in der Art ist und welches ich da draufpacken kann?
Luziver -
was kommt wenn mans geschafft hat? weil wenn die daten falsch sind kommt ja ne meldung, aber was wenn sie richtig sind?
-
Es w?re hilfreich, wenn du mal den PHP-Code postest. Dann f?llt das l?stige rumprobieren weg...
MfG Lucas -
ich hab nur zwei sache heraus gefunden.
einmal "name" und "pass" sind variablen und sind noch paar andere sachen drinne
und einmal
irgendwie wird abgefragt ob "button" die variable "Login" hat.
sonst kommt man nicht auf die passwortabfrage seite.. hacken konnte ich es leider noch nicht =) -
*hust*
Mit den richtigen Programmen udn Kentnissen ist im Computerbereich ALLES m?glich! Ich betone ALLES! Wenn du dich nur gut genug auskennst und auch ein paar Programme zur Hand hast kann man ohne weiteres beispielweise ein phpBB Board hacken, bzw. die Unix verschl?sselten Passw?rter durch ein Tool wie UnJack wieder zur?ckversetzen auf den Endstand, ist alles kein Problem.
eehhmm .. nein .. un zwar nen ganz DICKES nein ..
warscheinlich meinst du, dass diese sog. script kiddies "alles" "hacken" koennen;
aber
a) hacken = server ruinieren ?? (=kapuuut machen)
b) umgang mit proggs = hacken ??
zu beiden .. noe ..
dann speziell das knacken von unix passowoerten ..
wohl eher weniger; im unix bereich wird auch zunehmend das md5 verfahren angewand ..
aber was iss das md5 verfahren:
das iss ein einwegverfahren, das man zu 100% nicht entschluesseln kann; das einzigste was man tun koennte ist, (angenommen man hat die md5 zeichenkette) eine zeichenkette zu suchen, die ein gleiches md5 ausgibt ..(= lange rechenzeit+unrealistisch, weil .. wer gibt scho den md5 string aus..)
dann hat noch mr. genesisfx das hier geschireben:
zauberwort sind hackscripte die den eingebenen benutzernamen und pw herausfiltern
weisst du was du da grade sagst .. ??
also ich vereinfache ..
zauberwort sind scripte, die auf einer seite die eingegebenen daten auslesen und weiterverwenden.
ah ja .. iss klar .. wie kommen denn die daten in das formular ??.. (austauschen auf m server = zugang zum server; warum dann hacken)..
kehr kehr ..
das wort "hacken" scheint ja immmer belieber zu werden, aber ich bin mir verdammt sicher, dass keiner von euch wirklich die bedeutung kennt ..
in diesem sinne, versucht nur das php script zu "hacken" .. (in meinen augen aussichstlos; WENN ES SELBER GESCHRIEBEN WORDEN WAEHRE UND MAN DEN SERVER NET EINER AGGRO-BEHANDLUNG UNTERZIEHEN WILL!!)
Beitrag ge?ndert am 31.03.2006 17:57 von masterbene -
@masterbene
willst du damit sagen, dass man es gar nicht "hacken", nach deiner bedeutung f?r hacken, kann? -
ruechtoeg;
weil entw. zerstoert man das ganze script (also net in meinem sinn hacken, eher HARKEN :P),
oder mann kennt den aufbau des scriptes, ist also "nur" gut informiert (also auch net hacken in MEINEM sinn)!
EDIT:
oder man experimentiert SOOO lange rumm, bis man per zufall (oder mit nem script) die richtigen daten herausgefischt hat .. (also auch kein hacken nach meinem sinn)
Beitrag ge?ndert am 31.03.2006 20:47 von masterbene -
Diskutiere mit und stelle Fragen: Jetzt kostenlos anmelden!
lima-city: Gratis werbefreier Webspace für deine eigene Homepage