[HaBo]

titiki_joe

Anzeige

Hallo,

neulich hat mir ein Freund ein Hackerfilm gezeigt - http://0-day.x128.net/simple-sql-injection.html . Kann mir einer erklären was der Typ da macht? Ich hab mich schon um SQL Injection informiert, aber der ist irgendwie abgedreht und verdammt schnell oO.

Hat jemand Links zu anderen Filmen von diesem Genre?

Watchme

mit "Filmen" dazu lernt man IMHO garnichts!
und genauso sind sie aufgebaut, dass man die Anfangsaufgabe sieht, und das Resultat und dazwischen nur der "HAEH" Effekt bleibt.
Ausserdem ist das mehr als "nur" gestellt
Hollywood fuer Scriptkiddies
Wenn es dich wirklich interessiert, such die Codes und Texte.

blobbo

Mh naja ich find es geht fast aber ich versteh nicht warum die ausgelesenen Daten auch angezeigt werden!?

Crack

Hm naja...
zum Video äußere ich mich jetzt mal nicht^^.

Das einzige was mich dabei interessiert:
Wie hat der das Video aufgenommen ? Alles einzeln in flash einzutippeln wäre ein bisschen zu kompliziert... Gibts denn ne Möglichkeit die Shell aufzunehmen ?

mfg,
crack

titiki_joe

>> mit "Filmen" dazu lernt man IMHO garnichts!
das ist blödsinn. ein film genau so ein medium wie ein buch. würde ja bedeuten, das man aus tierdokus auch nix lernt.

>> Ausserdem ist das mehr als "nur" gestellt
glaubst die bug wurde extra reingebaut??? oder das ein film immer gestellt ist.

>> Hollywood fuer Scriptkiddies
wieso scriptkiddies? was genau macht diesen film für scriptkiddies interresant? das der typ php programmiert? so wie ich das verstanden habe ist das ein echter 0-day exploit, also nix was ein scriptkiddie könnte.

DolphVS

Nur so, aber SQL Injection gibt es schon mehrere Jahre, aber leider gibts immernoch seiten die dafür anfällig sind.

Ne Tierdoku ist auch was ganz anderes, also ich glaube auch nicht, dass man bei solchen Filmen dazu lernt, man sieht ja nur was er macht und versteht es deswegen nicht.
genau so wie Watchme schrieb:
Nein, es geht darum, dass der Bug "extra" eingebaut ist. Also ich glaub auch das der Bug extra für demonstration eingerichtet wurde.

Prometheus

Die Shell kannst du ja auch in ein extra Fenster verbannen. Dazu gibt es noch Tools die deine Desktopaktivität als Video aufzeichnen, ebenfalls auch in extra Fenstern möglich.
Solche Videos lassen sich auch in Flashfilmchen umwandeln (siehe youtube).

Naja, SQL-Injections sind schon möglich und wenn dazu noch Exploits genutzt werden können die Commandos und der Ablauf etwas kompliziert aussehen.
Aber von so ein Filmchen wie den hier, halte ich nichts. Er bringt nur Verwirrung und erklärt kaum welche Exploits oder Methoden genutzt wurden. Daher denke ich das es nur schlecht gemachte Angeberei sein soll.
Im Film schiehn er ja direkt auf den Server auch die PHP-Dateien ändern können, dies wäre sehr möglich durch einige Sicherheitslöcher in Servern ausnutzen zu können. Aber dies hat kaum mit SQL-Injections zu tun. (http://de.wikipedia.org/wiki/SQL-Injection)

Natürlich kann man auch solche Aktionen leicht faken. Z.B.: kannst du auch lokal ein Angriff auf deinen eigenen Rechner starten, der mehr Sicherheitslöcher hat wie andere Rechner im Internet. Auch wenn es so aussieht das er eine Webadresse eingibt, die er anzugreifen scheint, lässt die sich sehr simpel umleiten und er nur lokal auf all seine PHP-Dateien zugreift - dort wo er sowieso Vollzugriff hat.

Aber mich würde es nicht wundern wenn das Filmchen wirklich einen reellen Angriff auf einen fremden Rechner zeigt, denn die meisten Rechner sind wirklich ziemlich schlecht geschützt und wahrhafte Schweizer Käse.
Vorallen wenn die Leute Scripts und SQL-Datenbanken nehmen, die man sich irgendwo kostenlos herunterladen kann und der Angreifer somit den Quellcode kennen kann. Mit dieser Kenntniss lässt sich meistens ziemlich einfach SQL-Injections durchführen oder tausend mögliche Exploits - extra für die Scripts geschrieben - zu nutzen.

fetzer

Um es mal auf einen Punkt zu bringen: Ohne Vorwissen wirst du nicht verstehen, was in dem Video gezeigt wird. Und so ist es auch bei den meisten anderen Videos. Und da sich wirklich die meisten Skriptkiddies solche Filmchen anschauen ist es auch kein Wundern, wenn solche Fragen aufkommen und da stimme ich Watchme voll und ganz zu. Somit erweitrere ich watschmes erste Aussage doch noch einmal: Ohne Vorwissen lernt man mit Filme "IMHO garnichts"! Ohne Theorie kannst du schliesslich auch keine Praxis durchführen.

Oder wie willst du eine Lücke finden, wenn du nichtmal weisst, nach was du suchen sollst und dich dazu nichtmal in der Sprache auskennst?

Davon abgesehn: Warum interessiert es euch denn so extrem, ob es wirklich 0-Day ist oder nicht? Sucht euch über die ganzen MailingListen doch eine Lücke und macht ein Video, indem gezeigt wird, wie IHR diese Lücke scheinbar aufdeckt und schreibt ein Exploit dazu. Schon habt ihr ein fertiges 0-Day Video. So atemberaubend ist das nicht und für den Inhalt des Films hat es keinerlei keinerlei Bedeutung sondern nur für die Publicity, beispiel auf Milw0rm.

THRALL

Ich bin zwar auch der meinung das man von solchen filmen nichts lernt aber sonst tut ihr dem filmchen unrecht. Ist doch eigentlich ganz nett gemacht.

Wo steht denn bitte das das ein 0-day ist?

Zudem gehe ich schon davon aus das das ne echter 'fall' war, (zwar spaeter nachgestellt) aber sonst doch realistisch.

Zum quelltext haben: Das ganze ist nen open source project, (warscheinlich cms oderso) die ihr eigenes project auf ihrer website einsetzen. Der typ zieht sich dann das zeug von sf und sucht mit grep nach sql abfragen, dann hat er nen script welches, ne query injected und dann per regex die daten aufbereitet.

jorey

oh wunder.. das *gleiche* video existiert auf milw0rm

Moppel1291

Wie heisst denn das lied von dem video?
Weiss das einer von euch?

Am ende steht zwar jearhead soundtrack, aber das ist der nich...

Arschengel

Lied Nr 23 des Jarhead Soundtracks. Das lied heißt "Listen Up"

myRecords

probiers mal mit snagIT