php hackit von mir! knackt es! :)

[olmz]

hiho!

ich habe vor en par monaten ein kleines login system gebastelt mit php. ich sehe keine chance es zu knacken (bis auf wie immer mit bruteforce was aber lange dauern dürfte).

http://0imz.0i.funpic.de/infra/loginsystem/login.php

wenn ihrs geschaft habt steht da was von cpu... (eines meiner anderen projekte^^)

ich gebe jede woche nen tipp wenns niemand schafft^^

also dann mal frisch ans werk^^ wers hat bitte ausführlich hier posten

mfg, 0ImZ

 

[IsNull]

Die scheiss Werbung die da immer rein furzt (mitten ins Loggin) macht es nicht gerade einfacher. *grr*

X(
sry musste sein.

Zudem ist ein php script auf dem Server, und primär ist da der Hoster (in diesem Fall Funpic) für die un/sicherheit verantwortlich.



MfG
IsNull

 

[olmz]

1.für die werbung kann ich nix (also fast nix)^^ is halt alles 4 free aber man kann sie ja wegklicken

2.es geht mir weniger darum, dass funpic nicht meine daten lesen kann. das kann der hoster immer wenn sie nicht verschlüsselt sind. es geht mehr um das teil an sich...

ich denke das größte problem wird sein an mein skript heran zu kommen der rest ist nur eine frage der zeit


edit: axo bevor ich wegen so ner kleinigkeit nen neuen theard aufmache: javaskript

var code = new Array("a", "b", "c", "d", "e", "f", "g", "h", "i", "j", "k", "l", "m", "n", "o", "p", "q", "r", "s", "t", "u", "v", "w", "x", "y", "z");

wenn das da oben die var code ist, was ist dann das : --> ((code.length)*40)/2)

also warum?? nicht einfach nur die antwort... bin totaler noob @ javaskript weil ichs irgendwie net mag^^ xD

 

[Elderan]

Hallo,
evt. das hier:
http://0imz.0i.funpic.de/infra/working cpugnu/anzeige.php

 

[olmz]

Hallo,
evt. das hier:
http://0imz.0i.funpic.de/infra/working cpugnu/anzeige.php

evt. was??? du meinst das ist die geschützte datei? NEIN leider nicht das hätte ja nichts mit hacken zu tun^^ das ist nur en anders projekt von mir...

der text der erscheint wenn man sich erfolgreich einloggt ist: "Zur CPU-Überwachung" ich kann die erfolgsnachricht gern noch ein wenig eindeutiger machen .

das ziel meines hackits ist ums nochmal klar zu machen: komme auf die seite auf der steht "Zur CPU-Überwachung".


OHA!! ich sehe grad, dass einige es geschaft haben meine php seiten zu editieren!!! damit haben sie das hackit eigl. schon geschafft!! könnten die sich bitte mal per pm oder auch im forum bei mir melden und erzählen wie sie sie das geschafft haben!???

mfg, 0ImZ

PS: vielen dank für die zahlreiche teilnhame an meinem hackit es wurden schon verdammt viele acc. angelegt


EDIT: OK XD die tatsache, dass einige kluge köpfe meine php dateien beschreiben konnten war wohl mein fehler!!! omg wenn ich daran denke, dass man damit den ganzen server leer räumen könnte *kopf gegen wand hau*

 

[CDW]

Man kann ja schonmal die Hashes anderer User ansehen:
http://0imz.0i.funpic.de/infra/loginsystem/testit
http://0imz.0i.funpic.de/infra/loginsystem/spam
usw. Man muss nur den Loginnamen kennen.
Und dann könnte man ja ein paar Online-Passcracker abklappern.

Eventuell lässt sich auch das Passwort bestehender User überschreiben (je nach dem ob der erste oder der letzte Eintrag im Passfile genommen wird) - beim Erstellen eines neuen Accounts einen existierenden Usernament angeben und schon wird das Passwort hinten angefügt.

"Editieren":
beim Erstellen eines neuen Accounts einen bestehenden Filenamen (z.B login.php) eingeben. Dann wird in dieses File das Passwort hineingeschrieben.

Wahrscheinlich kann jemand mit PHP Kenntnissen damit um einiges mehr anfangen.

 

[Oi!Alex]

Original von CDW
Wahrscheinlich kann jemand mit PHP Kenntnissen damit um einiges mehr anfangen.

leider geht das nicht ganz so einfach da die eingabe in "pw" gehasht wird

 

[olmz]

jippi! genau auf so ein feedback habe ich gewartet, und du bist ganz ganz nah drann!!!


das was du unter z.b.
http://0imz.0i.funpic.de/infra/loginsystem/testit

siehst ist 1. der name (username!!!) testit
2. in der datei das passwort, welches der acc. besitzer festgelegt hat.

tja aber womit ist das passwort denn da verschlüsselt?^^


---------------------------------------



jeder kann sich nen eigenen acc anlegen... aber warum steht da acc noch nicht freigeschaltet??? guckt euch eure userdatei doch mal genau an


------------------------------------------------

"Editieren":
beim Erstellen eines neuen Accounts einen bestehenden Filenamen (z.B login.php) eingeben. Dann wird in dieses File das Passwort hineingeschrieben.

Wahrscheinlich kann jemand mit PHP Kenntnissen damit um einiges mehr anfangen.

JA! das ist ne riesige sicherheitslücke!!! danke... ich habe ja schon meinen kopf gegen die wand gehaunen^^

-----------------------------------------

ich hatte jetzt nen hinweiß, dass es nicht sinnvoll sei für jeden benutzer ne neue datei anzulegen... --> ich habe noch nicht genug zeit in das programm gesteckt

---------------------------------------------

jemand hat eine datei auf

http://0imz.0i.funpic.de/

direkt angelegt!? wie das!??? also mit welcher syntax im benutzernamen??? das is ja klasse

 

[CDW]

also mit welcher syntax im benutzernamen???

mit der Angabe des kompletten Pfades als Usernamen (verändert) klappt es:
/usr/export/www/vchosts/funnetwork/hosting/0imz/testuser.1
bzw.
/usr/export/www/vchosts/funnetwork/hosting/0imz/index.html

Nur dass Du wahrscheinlich gleich ein Problem mit ein paar Witzbolden hast, die Dir alle Ordner mit PW-Files zuspammen.

 

[lightsaver]

Original von olmz
es der acc. besitzer festgelegt hat.

tja aber womit ist das passwort denn da verschlüsselt?^^


jeder kann sich nen eigenen acc anlegen... aber warum steht da acc noch nicht freigeschaltet??? guckt euch eure userdatei doch mal genau an

einfach md5 verschlüsselt wie es ja schon angenommen wurde. das mit dem freigeschaltet könnte an dem pw= liegen würde ich jetzt mal tippen ;-)


---edit---

wollte hier mal noch was anmerken:

ich finde eine zeile im 1. post sehr nett

ich sehe keine chance es zu knacken (bis auf wie immer mit bruteforce was aber lange dauern dürfte).

es ist zwar noch niemand im system komplett drin, aber man sieht jetzt schon was man so alles ausnutzen kann ;-)

genau aus diesem grund sollte man sich zweimal überlegen, ob man ein login-system selber implementiert oder ein bereits bestehendes, welches vielleicht auch gute kritiken bekommen hat (oder z.b. htaccess), benutzt. dies gilt ganz besonders für leute mit wenig erfahrung

 

[olmz]

ja... die erfahrung wollte ich halt mal machen aber noch hats keiner geknackt

das mit dem "pw=" ist falsch... heute abend gibts nen ersten tipp

 

[Oi!Alex]

Original von olmz
ja... die erfahrung wollte ich halt mal machen aber noch hats keiner geknackt

das mit dem "pw=" ist falsch... heute abend gibts nen ersten tipp

naja meiner ansicht nach ist es zwar nicht geknackt aber zeigt schon gravierende sicherheitsmängel aus, stell dir ma vor das script wäre im produktiven einsatz, da ist schnell mal ein programm geschrieben was deine index.php mit XXXXX unterschiedlichen pws belegt...

und klar ist das md5... test = 098f6bcd4621d373cade4e832627b4f6 z.B.

 

[olmz]

ja, klar ist das md5 aber was bringt es dir es zu entschlüsseln?? du kannst dir doch selbst acc. erstellen. aber was kommt dann? --> er ist noch nicht freigeschaltet...
ich kann jeden eurer acc. freischalten und ihr kommt auf die ziehlseite!

das problem mit dem erstellen von dateien in jedem beliebigen ordner wird heute von mir gefixt... dann geht das auch nicht mehr.

wenn bis morgen keiner auf meine geschützte datei mit dem inhalt "Zur CPU Überwachung" gekommen ist gebe ich euch mal ein par tips!

mfg, 0ImZ

 

[Elderan]

Hallo,

OHA!! ich sehe grad, dass einige es geschaft haben meine php seiten zu editieren!!! damit haben sie das hackit eigl. schon geschafft!! könnten die sich bitte mal per pm oder auch im forum bei mir melden und erzählen wie sie sie das geschafft haben!???

Naja beim Login habe ich einen Username eingegeben, der nicht existierte und als Fehlermeldung erhielt ist: Waring - fopen('User_der_nicht_vorhanden_ist') file not exists...

Dann habe ich bei der Registierung einfach als Username 'login.php' angegeben und schon hat er in die Datei geschrieben.

 

[olmz]

@ elderan: das ist mir klar^^ aber das bringt dir nix und ich kann es problemlos verhindern, indem z.b. keine "." im benutzernamen vorkommen dürfen.

klasse finde ich aber die idee von CDW

"mit der Angabe des kompletten Pfades als Usernamen (verändert) klappt es:
/usr/export/www/vchosts/funnetwork/hosting/0imz/testuser.1
bzw.
/usr/export/www/vchosts/funnetwork/hosting/0imz/index.html"

damit kann man dateien auf dem ganzen server schreiben!

aber so wie du den pfad angegeben hast funzt er bei mir nicht was stimmt da net??




ALSO MAL ZUSAMMENFASSEND:

1. die oberfläche ist unsauber geproggt (ich arbeite dran)
2. die userverwaltung sollte nicht im gleichen ordner sein wie die skripts
und die userfiles sollten nicht von anonymen gelesen werden können (dies stelle ich gleich um)

3. es sollte nicht mehrmals der gleiche user erstellt werden können


wenn alle diese mängel behoben sind, gebe ich noch 5 tage. wenn bis dahin niemand dieses hackit gelöst hat gebe ich euch den gesammten quelltext!

außerdem erstelle ich einen user und aktiviere ihn (jeder könnte sich mit dem richtigen pw einloggen!!!)