BDV_Download.exe
auf:
XP 32bit SP3
Ausgehende Verbindung zu 87.xxx.xx.47 => xxx.onlinehome-server.info => 1&1 AG
Adresse hartkodiert in
Code:
00597980 38 37 2E 31 30 36 2E 32 35 2E 34 37 04 50 6F 72 87.xxx.xx.47
lässt sich also wunderbar mit "strings <exe> | grep " oder Wireshark ermitteln.
Downloadversuch klappt nicht. Fehlermeldungdialog bleibt leer. Wireshark zeigt an
out => "USER verein"
resp <="530 SSL required"
Vermutung: (da die sonstigen eingegebenen Kennziffern und Paswörter noch nicht zur Geltung kommen) zumindest der FTP Server wird gerade umgestellt.
Username + Passwort sind hartkodiert:
Code:
0045554D . BA E4584500 MOV EDX,BDV_Down.004558E4 ; ASCII "USER "
004555BC . B9 F4584500 MOV ECX,BDV_Down.004558F4 ; ASCII "PASS "
=> user: verein
pass: 00BDB4A0 62 2A 64 2F 76 *5_Zeichen_hier*
Anmeldung mit diesen Daten mittels FTP Client ist allerdings nicht möglich.
Bei FTPS & Co kommt ein "500 command not understood"/"502 SSL authentification not allowed" zurück. Beim simplen FTP "530 SSL Required".
-----------
"Verwaltung_Kleintierzuchtvereine.exe":
zeigt eine Fehlermeldung an beim Versuch der Synchronisierung (=> im "Übernahme aus der zentralen Datenbank des BDRG" Dialog):
Eine Verbindung zum BDRG-Server ist derzeit nicht möglich.
Versuchen Sie es später, am besten nach einem Neustart noch einmal.
Wenn nach mehreren Versuchen keine Verbindung möglich ist, bitte die Fa. BDV verständigen.
Die E-Mail-Adresse steht auf der Installations CD.
Verbindung läuft genauso ab, wie bei BVD_Download (gleiche Adresse, gleiche Anmeldedaten usw).
Schön: auch hier sind FTP-Nutzername+Passwort im Klartext gespeichert.
D.h:
zu der eigentlichen Datenbank/FTP Organisation lässt sich im Moment nichts sagen.
An welche konkreten Nuzterdaten man mit diesen "frei verfügbaren" FTP-Login-Daten kommen konnte - auch nicht (mehr). Eine tiefgehende Analyse hätte man vor dem großen "Traram" machen sollen
In den Programmen schwirren allerdings "select from * table" usw. Strings herum - demnach wurde hier das Rad nicht neu erfunden, sondern irgendeine SQL Implementierung genutzt.
Ferner sieht man festkodierte FTP Kommandos wie z.B "CWD anKVBVLV".
Spekulation:
Zusammen mit festkodierten Anmeldedaten lässt es den Verdacht aufkommen, dass man mit einem normalen FTP-Client den kompletten FTP-Server durchforsten konnte. Und falls die Daten auf dem Server nun unverschlüsselt lagen, waren sie auch für jedermann einsehbar. Falls verschlüsselt, bliebe immer noch die Frage nach der konkreten Umsetzung (im Programm hartkodiert/vorgegeben/aus dem Namen ableitbar/zu kurz usw).
![[HaBo]](/styles/default/logoklein.png){kind=small}
*
aid')
