IP-Security-Hack 1.0.7 für WBB 2.3.6

D

D4m14n

0
Peace,
auch hier will ich meinen Mod für das WBB2.3.6pl2 vorstellen.
Es ist ein SIcherheitshack!

Sinn und Zweck?
In der Szene werde Boards oft gehackt. Hacker erschleichen sich durch Exploits oä die Hashes und knacken sie, und können dann das Board durchs ACP zerstören.

Der IP-Security-Hack verhindert, dass sich unbefugt trotz Besitz von Userdaten im board einloggen können!

In der LITE Version (Black Edition) kann man pro User im ACP 2 IP-Masks eintragen:
http://home.arcor.de/d4m14n-7/1.JPG

Nur mit diesen IP-Masks kann sich der User im Board einloggen.

Wenn die IP-Masks nicht passen:
http://home.arcor.de/d4m14n-7/2.JPG

Diese Version des Hacks ist ausschließlich für kleine non-public Boards.
Er gilt nur für das Board, und bietet keinen Schutz im ACP!
Außerdem ist sie eine Preview Version:

DOWNLOAD:
http://www.speedyshare.com/992231583.html

Es gibt auch eine kommerzielle Version des Hacks.
Diese hat NICHTS mehr mit dem ursprünglichen Hack zu tun.

Screenshots der Private Edition (momentan in Version 3.0.2):
http://home.arcor.de/d4m14n-7/Benutzer bearbeiten.JPG
http://home.arcor.de/d4m14n-7/Falsche IP Board.JPG

Sie bietet die möglichkeit 4 IP-Mask einzutragen. Sie ist wahlweise pro User für das Board und ACP deaktivierbar/aktivierbar.
Das heißt, Hacker, die eure Admindaten haben, können sich nicht einloggen, weil die wahrscheinlichkeit, dass sie von der selben IP-Mask kommen eher unwahrscheinlich ist. Meist werden ja Proxys benutzt und diese werden sich sicherlich nicht in der Datenbank finden.
Zusätzlich gibt es noch das IP-UpdateScript 1.0.1. Es ist dafür gedacht das erste IP-Feld zu besetzen!

Wenn das erste IP-Feld besetzt ist:
http://home.arcor.de/d4m14n-7/Benutzer bearbeiten.JPG

wird die GESAMTE IP geprüft. Das heißt man muss exakt die selbe IP haben, wie die, die im ACP eingetragen wurde. Ansonsten kommt man nirgendswo rein.
Das Script dient dazu diese IP automatisch einzutragen. Nur der Admin weiß wo es sich auf dem Server befindet und kann die index.php aufrufen.

Screen:
http://home.arcor.de/d4m14n-7/IP-UpdateScript.JPG

Die Ip kann nur automatisch eingetragen werden, wenn man User und Pass kennt. Diese werden IN DER INDEX.PHP definiert (md5 verschlüsselt). Das heißt, das Ip-Update Script arbeitet OHNE Datenbank, was das rausfinden der Userdaten UNMÖGLICH MACHT. Nur Leute die Zugriff auf den FTP haben, können dies rausfinden (aber md5-verschlüsselt). Sodass es ihnen kaum was bringt.
Nur das Admin kann eben die IP-Eintragen!!!

Erhöht den Sicherheitsfaktor um einiges.
Die Private Edition kann auch auf großen Boards installiert werden und lediglich zum schutz der Admins im ACP aktiviert werden.

Changelog,Preis usw:
http://damian.killerserver.net/blog/?page_id=42

Blog/Neuigkeiten:
http://damians-world.dl.am/


Mit freundlichen Grüßen
D4m14n
 
Gewerbenummer, Steuernummer, etc, besitzt du nicht?
Desweiteren liese sich dein Skript durch einfaches IP-Spoofing umgehen, sofern man die Login-Daten besitzt. Auch ist es fraglich, ob ein Administrator immer von einer statischen IP connected oder sogar von einer IP mit einer bestimmten Hostmask. Die Telekom hat beispielsweise afaik vor einigen Monaten ihre IP Ranges von 88.x.x.x ( bzw irgendwas mit ner 8 am Anfang... ) über 216.x.x.x auf 91.x.x.x-Adressen umgestellt ( jedenfalls hat sich meine Adresse geändert.. ), was bei einem Admin dann ziehmliche Probleme hervorrufen würde und auch die kostenlose Version ziehmlich unbrauchbar machen würde.
Und zur Not gibt es so ziehmlich in jeder IP-Range Proxys.
 
Ip-Spoofing ist in diesem Fall wohl nicht möglich, da der Server dazu antowrten muss.
Und da er, wenn überhaupt auf die gefakte (nicht existierende oder mindestens nicht antowrtende) schickt, kann man sich auch keinen Zugang zum ACP verschaffen.
Das ist momentan mein Wissensstand.
Zudem muss ein Hacker wissen, welche IP-Mask eingetragen ist.

Das ein Admin von einer statischen IP verbindet ist ja nicht vorausgesetzt.
Dafür gibts das 2te Script, mit dem man automatisch extern die IP komplett eintragen lässt. Die 3.0.2er bzw deren Prinzip wurde lange (ca 1-2 Jahre) in Untergrundboards getestet. Somit gibts die meisten Probelem nicht.
Außerdem ist eben nur das 1. Feld für den Admin gedacht wo er sich per IpUpdateScript die IP eintragen lässt und dann erst einloggen kann.
Die anderen Felder 2-6 sind eher für User gedacht. Das letzte Feld ist eben für sone komischen Nummer wie die von der Telekom, wobei mir das noch net aufgefallen ist.
Aber trotzdem die erste Zahl ändert sich sogut wie nie. Sodass es eine Ausnahme ist.
aol hat das selbe Problem. Es ist momentan ja 172.xxx.xxx.xxx.

Und wenn irgendein User wirklich so extrem unterschiedliche IPs hat, dann deaktiviert man den Hack eben für den User im Board und fertig!

Zu den Proxys: Ich habe oft gegen den Hack gekämpft, der in fremden Boards installiert war. und eine passende IP-Range-Proxy zu finden, und zu wissen, welche IP-Mask dieser User/Admin benutzen darf, ist auf jedenfall ein unterfangen...
Finde eine geeignete FUNKTIONIERENDE Proxy...

Mfg
 
Original von D4m14n
Ip-Spoofing ist in diesem Fall wohl nicht möglich, da der Server dazu antowrten muss.
Und da er, wenn überhaupt auf die gefakte (nicht existierende oder mindestens nicht antowrtende) schickt, kann man sich auch keinen Zugang zum ACP verschaffen.
Das ist momentan mein Wissensstand.
Zudem muss ein Hacker wissen, welche IP-Mask eingetragen ist.
Zum Vergrößern anklicken....

IP Spoofing ist insofern möglich, dass, soweit ich das verstanden habe, dein hack nur das ACP schützt, jedoch nicht den Login selbst. Somit loggt sich ein Programm ein und schickt mit den Rechten des Admins ein Paket mit gespoofter IP Adresse an das ACP. Da es sich um ein handelsübliches WBB handelt kann man den Request relativ einfach zusammenbauen würde ich sagen. Eine Antwort ist meiner Meinung nach nicht nötig bzw wird nach richtigem Request eh für alle User sichtbar werden ;)

Ok.. und welche IP Mask verwendet wird ist relativ einfach zu erraten. D.h. bei einem Forum, dass von Deutschen benutzt wird kann man sich ersteinmal auf deutsche Provider Ranges beschränken, o.ä. Da gibt es viele Möglichkeiten Informationen darüber zu bekommen, eventl. hilft da auch eine XSS Attacke aus.

Auch besteht die Möglichkeit, dass dein Skript Sicherheitslücken hat und sich ein Hacker einfach eine IP Adresse eintragen kann, beispielsweise über dein externes Skript, da er ja in Besitz der Admin-Daten sein kann.

Finde eine geeignete FUNKTIONIERENDE Proxy...
Zum Vergrößern anklicken....
Wer sich darauf verlässt hat letztendlich schon verloren. Finde einen TOR-Node mit dieser IP und du hast schon eine potentielle Lücke. Auch gibt es genügend Seiten, die Proxys im Internet veröffentlichen und zur Not scannt man nach Proxys auf einer IP-Range.
 
verstehe verstehe...
ich diskutiere des ma auf egocrew durch...
ip-spoofing war mit ein fremdbegriff, bzw komplett nicht mein gebiet.

aber prinzipiell habe ichs verstanden, worauf du hinauswillst.

ich schaue mir ma genauer an, ob man den bug ausnutzen kann.
wenn ich die session zerstöre, in dem augenblick, wo ip falsch is, dann würde der request auch ins leere gehen...

muss ma alles durchdenken, was das thema angeht.

zum anderen script:
unmöglich!
das script arbeitet ohne DB, das heißt die logindaten sind i n der datei definiert. und wer die selben Daten verwendet wie für acplogin, der is dumm und selbst schuld. außerdem muss man das script gut verstecken, bzw irgendwohin kpieren wo nur der admin weiß wo es ist und zugriff drauf hat!


----
so nun komplett durchgegangen und jemand der sich damit besser auskennt, hat versucht per ip-faking reinzukommen.
Das ist nicht möglich, dank der session die erstellt wird.
sicherheitshalber löscht nun das script die session wenn, die ip nicht passt sofort.
Das heißt man kann nichts mehr ausführen, weil man keine gültige loginsession mehr hat. SELBST WENN MAN DIE ADMINDATEN HAT!

mfg
 
Hallo,
zum IP Spoofing:
Es wird sogar meistens noch leichter, denn es gibt die tolle Funktion: Wer ist Online?

So weiß ich jetzt z.B. das du (D4m14m) die IP 88.73.123.59 hast sowie Mozilla/5.0 (Windows; U; Windows NT 5.1; de; rv:1.8.1.6) Gecko/20070725 Firefox/2.0.0.6 verwendest.

Jetzt hab ich die Einwahldaten zum Admin-Acc + IP Add., log mich ganz normal ein um eine Session ID zu bekommen.
Dann sende ich ein IP-gespooftes Packet an den Webserver mit den Login-Daten etc., der Script/Hack vergleicht meine IP und weil alles okay ist, wird in meiner Session ein entsprechender Wert auf true gesetzt, so dass ich Admin (ink. ACP)-Status habe.
Dann mit meiner normalen IP normal ins ACP wechseln.

so nun komplett durchgegangen und jemand der sich damit besser auskennt, hat versucht per ip-faking reinzukommen.
Das ist nicht möglich, dank der session die erstellt wird.
Zum Vergrößern anklicken....
Wenn man bereits eine Session ID hat, und diese im gefaktem Packet auch mitsendet, dann wird diese SessionID weiter verwendet und ich kann man im ACP damit normal einloggen.
Sprich, das gefakte Packet muss mir nur die Tür zum ACP öffnen, hindruchgehen kann ich meiner normalen IP.


Außerdem gibts deutlich besser Methoden mit ähnlich viel Komfort die ein höheres Maß an Sicherheit bieten als ein IP abgleich.


PS: Wie ist die Datei eigentlich vor auslesen geschützt?
Und wenn ich schon an die Admin Daten rankomme, dann ist dies oft durch eine SQL Injection möglich.
Sprich, dann kann ich auch die IP-Mask für den Admin auslesen oder sogar ggf. die IP Mask entsprechend 'tunen'.
 
flasch...

das wbb2 arbeitet so:
in jeder datei wird die global.php includiert ( in der sich die ipabfrage befindet).
egal mob im acp oder im board. durchgehend wird nach der ip gefragt, dh man kann nicht mit der eigenen IP rein!
 
Elderan:

Die "Wer ist wo"-Ansicht ist so eingestellt, dass nur Moderatoren und höher Zugriff auf Browserversion und IP-Adresse haben. Ein normaler User sieht dort nur Nutzername, Uhrzeit der letzten Aktion und ggf. wo die Aktion stattfand (wenn das nicht vom jeweiligen User durch den "Geist"-Modus unterbunden wurde).

So gesehen müsste sich der Verräter schon im Team befinden ;)
 
naja nix geht über einen test
hab ma schnell n ohost acc gemacht
und n board aufgesetzt:

http://d4m14n.ohost.de
adminlogin: test1
Adminpass: test1

Versucht mal reinzukommen. Interessiert mich auch.

Der IpCheck Hack ist momenatn so eingestellt, dass nur 88.73. rein darf mit dem acc

Mfg
und Have fun!
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben