[HaBo]

J!M!

Anzeige

Hello!

Are there already some XSS exploits or other vulnerabilities established for phpBB version 2.0.22?

I did researches on google, g00gl3, packetstorm, securityfocus, milw0rm, OSVDB and NVD... But all I can find are articles for versions 2.0.21 and below.

So do you guys know some for 2.0.22?

I#m particularly looking for remote file inclusion, but well... other exploits are also welcome. :)
I've found a lot with "phpbb_root_path". Is there somethin similar for v 2.0.22?

J!M!

P.S.: Of course you can answer in German; I just wrote in English for "international" purpose... lol

b4ck

I think this is the wrong place to ask your question.
und weil mein englisch net so gut is...
lads dir runter und tests doch selbst aus

J!M!

Warum sollte meine Frage an dieser stelle falsch sein?

1. Ist dies ein Hackerboard.
2. Ist dies ein (In)Security-Unterforum.
3. Ist dies keine N00b-Frage, sondern ich hab mich damit schon für ne Zeit auseinandergesetzt und ich versteh was von der Materie - zwar nicht sooo viel, aber immerhin.

Ich benutze selber bereits 2.0.22, könnte auch versuchen selber vulns zu finden - aber wozu suchen, wenn es schon gibt, ne?

MfG J!M!

b4ck

boardregeln lesen..

<<Sämtliche Anfragen zu illegalen Aktivitäten jedweder Art sind unerwünscht und führen zu einer sofortigen Sperrung des Accounts>>
und da es net danach aussieht als hättest du gutes damit vor..
sag ich mal das hier der falsche ort ist

J!M!

Nicht böse gemeint - und erst recht nicht ironisch. Sondern ernst gemeint: Nenne mir dann doch bitte doch mal was man in einem Hackerboard fragen darf, wenn nicht sowas...?

Wenn hier gesagt wird, dass Fragen wie "Wie hacke ich ein *-Account?" mit Ausreden wie "Ja, ich habe mein Passi vergessen/mein Account wurde gehackt..." auf die Nerven gehen - ok. Aber sonst...



Na gut. Dann eine Frage die nicht illegal sein sollte: Kennt ihr Anlaufstellen (Archive etc.) wo man nach Exploits suchen kann - neben denen, die ich bereits - oben genannt - besucht habe?

THX

J!M!

P.S.: Letzteres eher eine Frage für ein Security-Forum, aber... was soll's. *g*

valenterry

Warum willst du denn unbedingt Exploits für diese bestimmte Version?
Wenn es dich nur interessiert / du etwas lernen willst, kannst du doch genauso gut auch Exploits für eine ältere Version nehmen. Da findest du dann auch mehr.
Momentan muss ich b4ck zustimmen: "und da es net danach aussieht als hättest du gutes damit vor.."

J!M!

Bevor ich dir deine Frage beantworte - wie wärs wenn du vorher meine zwei beantwortest?

Und Achtung: Die zweite Frage ist nicht für "illegale Aktivitäten" gedacht. Ich will nur gucken ob es Exploits für 2.0.22 gibt.

J!M!

0wnZ

J!M!, zu der Namensgebung gibt es auch einen ( recht ausführlichen ) Thread.
Du hast recht damit, dass du sagst du fragst nicht so eine 0-8-15 Frage, wie "Wie häcke ich meinen Freundes PC???". Jedochist das eine grau Zone und es wird sich, glaube ich, dir niemand öffentlich sagen, wo du so etwas finden kannst. Aber ich denke, da du so ausführlich gesucht und nichts gefunden hast, gibt im Moment keine bekannten ( technischen ) Bugs in der phpBB 2.0.22.
Du kannst dich aber selber auf Suche begeben.

Mit freundlichen Grüßen

0wnZ

J!M!

Ok - ich denke auch, dass es wohl derzeit wirklich noch keine Exploits für 2.0.22 gibt - zumindest keine gefunden wurden.

Und ich bin mal so nett, und beantworte noch die Frage: "Was willst du machen?" (Zwar nicht wortwörtlich von valenterry und b4ck übernommen...)
Man kann es zwar so interpretieren, dass ich es für "illegale" Zwecke benutzen will. Aber: Kann sein, muss nicht sein...
Genau so gut kann es nämlich sein, dass ich unbedingt Expl0its für 2.0.22 finden möchte, weil ich es selber nutze und eventuelle lacks fixen möchte. Da helfen mir kein Vulns für 2.0.21 und below...

So...
Wenn man nun noch streiten konnte, ob Hackerboard ein Security-Forum oder nun wirklich ein Hackerforum ist, dann ist wohl bei der Frage "Ist ein Hackerboard ein Lyrik-Forum?" die Antwort klar und deutlich. Also liebe Freunde, Interpretieren kann man woanders. *g*

Wobei - wenn Hackerboard eher ein Securityforum ist -, dann sollte es sich mal (zumindest was die Namensgebung) sich bei Protecus umschauen, dann gibt es keine Missverständnisse und man muss auch nicht mehr erklären warum das und das nicht gefragt werden darf... und... und... und.
Und... sorry dass ich nicht das Board-FAQ gelesen hab, wodurch ich womöglich das Gegenargument zu meinem Statement zur Namensgebung finden würde - aber kommt Leute: Ihr lest doch euch auch nicht das Kleingedruckte auf eurem Vertrag durch, obwohl ihr es eigentlich machen müsste oder...?

Greez J!M!

CDW

Meinst Du, dass Du hier etwas findest, was nicht auf den "üblichen Seiten" (milw0rm) etc. steht? Was erwartest Du denn ? 0-Days?
Wer mit ein wenig Verantwortungsgefühl würde es auf einem gut besuchten Forum posten (die Leute ohne Verantwortungsgefühl würden es sowieso nicht tun)?

Na, wir haben eben gerne das "Hacker" in der URL - gibt so ein l337 Gefühl .

__________________
Noch mal, für alle Pseudo-Geeks: 1+1=0. -> 10 wäre Überlauf!
Selig, wer nichts zu sagen hat und trotzdem schweigt.

SUID:root

Lieber b4ck,

bitte überlasse es dem Boardteam bzw. dessen Mitgliedern, zu entscheiden was illegal ist und was nicht. Wir brauchen keine Boardcops die hier für Recht und Ordnung sorgen. Es steht jedem Mitglied frei, den UPS-Button zu benutzen um sich über einen Beitrag zu beschweren. Die Entscheidung liegt aber letztlich bei dem Mod/Op.
Ich bitte um Beachtung. Danke.

Ich sehe hier keinen Verstoß gegen irgendwelche Regeln. Es gibt unzählige Exploit-Archive und Datenbanken und diese sind in keinem Fall illegal, genauso wenig trifft es auf die Frage nach Exploits zu. Da ich in der Fragestellung keine böse Absicht lese, sehe ich keinen Grund Maßnahmen zu ergreifen. Wir sind immernoch ein freies Board und reine Mutmaßung was jemand vorhaben könnte, sind noch lange kein Beweis, dass das auch so sein muß.

root

J!M!

Meinst Du, ich kenne alle "üblichen Seiten"?


Wenn es die leute mit verantwortungsgefühl nicht tun - wenn nicht die Leute ohne Verantwortungsgefühl, wer denn?


Aso. Na wenn das so ist. Verständlich, verständlich...
Kleiner Vorschlag meiner Wenigkeit: www.dies-ist-kein-hackerboard.de.
-> Hat auch das "Hacker" in der URL.
-> Gibt auch ein l337 Gefühl.


J!M!

P.S.:
Nice. THX.

EDIT:
Hab sogar bei DeNIC wegen www.dies-ist-kein-hackerboard.de nachgeguckt - er ist noch frei - er ist noch nicht registriert! Ja! Ihr habt noch eine Chance! Ihr solltet es euch wirklich überlegen... *g*

Scherz.

Greez J!M!



EDIT2:
Check that out http://www.underground.ag/index.php. Echt beeindruckend wie hilfsbereit die Leute da sind. Das ist das Gute. Aber wenn man die Threads dort liest (http://www.underground.ag/showthread.php?t=49575 [Ihr müsst mal ab dort lesen, wo der eine seine Probleme hat den Anweisungen zu folgen.] oder http://www.underground.ag/showthread.php?t=53128). Da kriegt man ja richtig Frust. Daaaa sollte es wirklich Board-Cops geben.
Und das Beste ist ja: http://www.underground.ag/showthread.php?t=52811
OMG!

J!M!

Jolle775

h3h3
lieber J!M ich finde deine Art des Schreibens sehr unterhaltsam :-)
Ich war auch eine lange zeit bei underground.ag, bin dann aber rausgeflogen weil ich ein wenig für Ordnung sorgen wollte (stichwort Jolle775 - Dramaqueen)

Leider kenne ich auch nicht mehr Archive wie die hier aufgezählten!

Ich nutze auch die 2.0.2.2 Version und habe mir hierzu noch das CrackerTracker Sicherheitssystem!

Würde ich dir raten, alles andere ist Mist!

Wenn du etwas vergleichweiße gutes wie milw0rm findest sagste mir mal über PN bescheid, interessiere mich auch ab und an für solche Dinge ;-)

Danke

J!M!

Heißer Tipp. Danke.


Yupp. Geht klar. Werd ich machen.


MfG J!M!