SQL Injection - World of Revenge

Page 1 of 5

07/20/2010 22:44 .Infinity#1

Yey yey liebe World of Revenge Besitzer.

Da ich nicht so nen Arsch wie die anderen bin und eure Page euren Server l�sche,bin ich mal so freundlich euch auf eure L�cken im Itemshop hinzuweisen.
[Only registered and activated users can see links. Click Here To Register...]
Das sind die Daten aus der admin Tabelle bei Account,
ich kann eig ziemlich vieles bei euch auslesen.
Naya egal

Schaut selbst wie ihr es fixxed.
Wollt euch nur drauf hinweisen bevor ihr hacket werdet

Habs PW ausgeblendet das erste ist die ID aus der Spalte ID !

Best Regards,
.Infinity

PS,
Nein ich konnt dem Admin keine Private Nachricht schreiben da ich ihn net kenne.
Blubb

07/20/2010 22:46 Lixos#2

und was daran nun ne l�cke?

07/20/2010 22:48 Ap0kalyps3#3

Quote:

Originally Posted by Lixos

und was daran nun ne l�cke?

Trottel?!
Das pay Script vom Itemshop hat ne L�cke bei der �bergabe der Variablen.
Somit kannst du selbst MySQL Code einschleusen (nennt man dann Injection), mit dem du zum Teil die ganze Datenbank l�schen / ver�ndern kannst.

keine sch�ne angelegenheit und w�rde ich auch keinem Server w�nschen.
Gru�,
Ap0

07/20/2010 22:49 .Infinity#4

Quote:

Originally Posted by Lixos

und was daran nun ne l�cke?

Schon was von der Tabelle admin geh�rt?
In der Account DB.
Das sind die Daten ausgelesen per Injection.
Die werden f�rs Admin Panel ben�tigt.
Du kannst per Injection mit dem richtigen Script auch mehr als nur auslesen.
Wegen der Where Klausel kann ich nur bei Select bleiben.
Insert Update Create Drop
Tabellen l�schen etc ist mir nicht gelungen.
Das hier reicht aber auch die Daten f�rs Admin Panel.
Ich kann auch Tabellen einfach komplett auslesen lassen.
Paar md5 hashes pw sicherlich nicht schlecht.
Dazu kommt manche tragen die PW unverschl�sselt und verschl�sselt ein wenn sie unverschl�sselt drin stehen ich die Spalte herausfinde,
Win.
Alle Pw's von jedem

07/20/2010 22:54 [-Lee-]#5

Inif finds langsamm sry echt affig , jetzt wissen es leute das die ne l�cke habe und bum ... hast eig daf�r gesorgt das kleine kinder jetzt anfange da stress zu schieben

du wolltest weg von M2 dann mach es auch aber ziehe hier nicht so nen bl�de tour in e*pvp ab wie du es in letzer zeit machst

07/20/2010 22:56 Tupacc#6

wenn ich daten h�tte wurd ich erstmal geld klauen

07/20/2010 22:58 westilein#7

Du schon, Infi nicht.

€dit: Wie willst �berhaupt geld klauen? Das geht gar nicht.

07/20/2010 23:00 αίίR7 :3#8

sowas nennt man simples SQL Injection, wenn man zu doof is real escape zu konfigurieren, da haste es wohl ohne meine hilfe hinbekommen, mein meister infinity ! :D

07/20/2010 23:14 gatinho88#9

omg h�ttest mich zwar pn k�nnen aber danke ^^

07/20/2010 23:18 .Infinity#10

Quote:

Originally Posted by gatinho88

omg h�ttest mich zwar pn k�nnen aber danke ^^

Naya bis ihr es gefixxt hab st�ber ich noch in eurer DB rum xD

Keine Sorge ich mach nichts b�ses

07/20/2010 23:20 Tupacc#11

ich meine ja das es bestimmt ne psc table gibt

07/20/2010 23:21 R0bo7#12

xD 100% von allem ne copi machen xD

07/20/2010 23:30 .Infinity#13

Quote:

Originally Posted by .Fatih

xD 100% von allem ne copi machen xD

Ne ich les grad deren item_proto durch und schau ob die neue Sachen haben xd
Hmm ne PSC tabelle, ne klauen ist schei�e aber die gmlist und gmhost w�hre interissant mal anzuschauen.
Mach ich mal mom

Player.php entfernt damn it.
Naya n�chsten Server suchen.

07/20/2010 23:39 synox07162#14

Quote:

Originally Posted by .Infinity

Ne ich les grad deren item_proto durch und schau ob die neue Sachen haben xd
Hmm ne PSC tabelle, ne klauen ist schei�e aber die gmlist und gmhost w�hre interissant mal anzuschauen.
Mach ich mal mom

Player.php entfernt damn it.
Naya n�chsten Server suchen.

Schade das es mit NW2 nicht geht :(

07/20/2010 23:41 .Infinity#15

Quote:

Originally Posted by synox07162

Schade das es mit NW2 nicht geht :(

Naya w�rde bei Nw2 nichts machen au�er es Downi Privat sagen!

Page 1 of 5

Last »