[Release] Sedrika's Admin Panel - Lite Edition

[Sedrika]

Quote:

Originally Posted by ©ross

@sedrika: guck ich falsch oder ist der php src plain?

Weil du etwas von "obfucasted" schriebest

Nja whatever -> Das Pannel an sich ist nice, gefällt mir was die Leute mittlerweile in PHP Sachen alles machen

Ich denke mal das es wohl viele Server bewegen wird es zu kaufen, das man echt alles kontrollieren kann (nja fast - ein EoCRM ist es eben net)

Greetz

Mein Ziel ist es so nah an EoCRM zu kommen, wenn nicht sogar zu überbieten

[pixelz]

Du kannst doch fallsdu es noch nicht hast den database Server mit einbeziehen, nach dem Guide den du damals geschrieben hast. So kann man noch mit auslesen wieviele items im Umlauf sind etc...
Wäre noch ne richtig gute Funktion die nicht fehlen darf

[Sedrika]

Quote:

Originally Posted by pixelz

Du kannst doch fallsdu es noch nicht hast den database Server mit einbeziehen, nach dem Guide den du damals geschrieben hast. So kann man noch mit auslesen wieviele items im Umlauf sind etc...
Wäre noch ne richtig gute Funktion die nicht fehlen darf

Das war ja aber allen in C++, ich müsste gucken wie ich das in PHP umschreibe

[yannickminecraft]

Quote:

Originally Posted by ©ross

Nja whatever -> Das Pannel an sich ist nice, gefällt mir was die Leute mittlerweile in PHP Sachen alles machen
Greetz

LOL?

ICH BIN ENTTÄUSCHT SEDRIKA! Dachte du hast von mir PHP etwas abgekuckt aber nja fail..

Account.php (erste Datei die ich geöffnet habe - auch letze datei..) und was ist mir sofort ins auge gesprungen?

1. 2 Querys indenen man Shellcode in die Datenbank schleusen kann.
2. Du prüfst ein md5 verschlüsselten string auf schädlichen code? (mssql_escape_string(md5(...)). Wenn die md5() funktion sich selbstständig macht und dich versucht zu hacken dann ist es ok ...
3. Du echo'st sofort alles. Deswegen ist auch dein Login so komisch. Würdest du alles in einen String packen und am ende des Strings ausspucken..

[Sedrika]

Quote:

Originally Posted by yannickminecraft

LOL?

ICH BIN ENTTÄUSCHT SEDRIKA! Dachte du hast von mir PHP etwas abgekuckt aber nja fail..

Account.php (erste Datei die ich geöffnet habe - auch letze datei..) und was ist mir sofort ins auge gesprungen?

1. 2 Querys indenen man Shellcode in die Datenbank schleusen kann.
2. Du prüfst ein md5 verschlüsselten string auf schädlichen code? (mssql_escape_string(md5(...)). Wenn die md5() funktion sich selbstständig macht und dich versucht zu hacken dann ist es ok ...
3. Du echo'st sofort alles. Deswegen ist auch dein Login so komisch. Würdest du alles in einen String packen und am ende des Strings ausspucken..

Habs gebessert In der Lite version werd ich es aber nicht bessern xD

Zudem wenn es injectbar ist, wieso musste ich mich für dich einloggen

[yannickminecraft]

Quote:

Originally Posted by Sedrika

Habs gebessert In der Lite version werd ich es aber nicht bessern xD

Zudem wenn es injectbar ist, wieso musste ich mich für dich einloggen

Weil man nur sonst einen Query manipulieren kann und zwar den Login query du querverschnitt von dummheit.

Was sind die heißesten Exploits für OpenSource Foren (wir lassen mal die RFI Exploits (Remote File Inclusion) außer acht)?
Shell Uploads!

Was meinst wie oft ich vor einem Server war mit der möglichkeit den Query zu manipulieren aber dann ist File Access für den SQL User gesperrt und sonst kein Upload Script vorzufinden?

Mit der SQLi in deinem schlechten Panel kann man sich ratzfatz Remoten Zugriff auf den Server besorgen. Da die Verbindung über MSSQL läuft (cmd_exec() usw..) und ein Windows Server zu 99% dahinter geklemmt ist (5sec max. um einen Administrator anzulegen).

Bei Linux boxen musst dir für die Kernelversion erstmal ein Access Exploit suchen und den root login knacken ;c

[Sedrika]

Hab an der sicherheit nochmal geschraubt, nun sollte eigendlich jede injection fehlschlagen - Nur in den Normalen und Pro versionen.

[Vollschrecker222]

Bei mir kommt so eine Meldung :-(

[~Pfand~]

Genau das kommt auch bei mir also nur das mit acces ^^

[Caseツ]

Quote:

Originally Posted by ~Pfand~

Genau das kommt auch bei mir also nur das mit acces ^^

Hab dir mein admin panel per pn geschikt vieleicht geht ja des