[Eckbert]

Anzeige

Hi,
jemand gibt an von einem Forum die MD5 Hashs der Benutzer geklaut zuhaben und mit Brute Force sie geknackt zu haben.
Boardversion ist: Burning Board 2.1.3
In wie fern ist das möglich und muss derjenige dafür in den Server einbrechen?

[flame]

Hey Ecki, du hast das grässliche Avatar rausgenommen *ThumbsUp*

Also das burningbord an sich hat mienes wissens nach keine bekannte Schwachstelle, mit der man die Pasworthashes stehlen kann.

Sind im betreffenden Forum extensions installiert ?
Gibt es weitere Seiten, die auf die datenbank zugreifen.
evtl hat der Server irgendwelche exploits mit dene man an zugangsdaten kommt.

[core]

Sehe ich das richtig, dass du mit einem Hakenkreuz im Avatar daherkommst?

Zitat:

In wie fern ist das möglich und muss derjenige dafür in den Server einbrechen?

Nein, wenn der Server nicht genügend gesichert ist.

MfG

[Eckbert]

Das is ein MS XbOx 360 Swastika hab kein bessern gehabt.

also der server ist komerziel und groß verdatenbankt is der auch nicht.

was auffällt ist das sich jemand dann angemeldet hat und bei email
asud7as8d6r@89asd.org' OR (userid=323 AND ascii(substring(password,1,1))>96)/*

angegeben hat wenn das weiterhilft.
Kann es sein das so bei der passwort recovery der hash von dem angegebenen user geschickt wird?

[Mackz]

Zitat:

Original von flame
Also das burningbord an sich hat mienes wissens nach keine bekannte Schwachstelle, mit der man die Pasworthashes stehlen kann.

http://www.securityfocus.com/archive...5/2005-05-21/0

[Eckbert]

Also es wird zumindest mal ausgeschaltet das der server das pw an die im profiel angegebene email addy schickt sondern neues generiert. Hoffe das hilft.

[NeonZero]

Zitat:

Original von Eckbert
... bei email [b]asud7as8d6r@89asd.org' OR (userid=323 AND ascii(substring(password,1,1))>96)/*[/] angegeben hat wenn das weiterhilft.

Und ob das hilft! Schon mal probiert was passiert, wenn Du diesen Eintrag für Deinen Account übernimmst? Schicke Dir dann eine persönliche Nachricht oder gebe an, daß Du Dein Passwort vergessen hast^^

Kleiner Hinweis: In Deinem Avatar sind X-Box, Harkenkreuz und SS vereint. Wenn die letzteren beiden nicht Deiner politischen Überzeugung entsprechen, dann kann es durchaus zu ungewollten Missverständnissen führen.

Bye, nz

[core]

Zitat:

Original von Eckbert
Das is ein MS XbOx 360 Swastika

Also tatsächlich ein Hakenkreuz.

Das ist illegal.

MfG

[Eckbert]

Zitat:

Original von core

Zitat:

Also tatsächlich ein Hakenkreuz.

Das ist illegal.

MfG

Beschwer dich bei Microsoft.

Zitat:

undd ob das hilft! Schon mal probiert was passiert, wenn Du diesen Eintrag für Deinen Account übernimmst? Schicke Dir dann eine persönliche Nachricht oder gebe an, daß Du Dein Passwort vergessen hast^^

Ja Mackz Link hat das schon geklärt nun muss man nur noch den Patch ausfindig machen.

[Mackz]

Zitat:

Boardversion ist: Burning Board 2.1.3

Zitat:

nun muss man nur noch den Patch ausfindig machen.

http://www.woltlab.de/news/399_de.php Sieht nicht so aus als würde 2.1.3 noch unterstützt werden.
Besser wäre wohl gleich auf 2.1.6 upzudaten: http://www.woltlab.de/news/407_de.php

Theoretisch müsste es auch schon reichen in der acp/lib/functions.php in der Funktion verify_email() an der Stelle

Code:

*(\.[a-z]{2,}))/si", $email))

vor /si ein $ einzufügen.
$ definiert das Stringende, somit dürfte es dann nicht mehr möglich sein, Code hinter die E-Mail Adresse zu hängen. Die E-Mail Adresse ansich wird ja eh validiert und unzulässige Zeichen nicht angenommen.

oder zusätzlich mit preg_replace bestimmte Sonderzeichen wie ' " , = ( ) und ; aus $email rauszuschieden

...

Ohne Gewähr.