[Fixx] Hen! CMS

Page 1 of 3 1 23
12/19/2010 20:53 °Secret2#1
Hallo,

Wir haben grade eine neue Sicherheitslücke in Hen! seinem CMS gefunden.
Damit kann man sich einen Admin Acc auf der HP machen und dann einen auf kleinen GM spielen.

Den will ich euch jetzt geben, aber natürlich will ich euch auch den Fixx dazu geben.

[Only registered and activated users can see links. Click Here To Register...]
Da könnt ihr euch einfach nen Admin Acc anlegen.
So einfach wie das ist, ist es auch zu beheben.

Ihr macht mir Notepad++ eine .htaccess datei.

Fügt folgenden inhalt rein.
Code:
order deny,allow
deny from 125.30. #??
deny from 91.187.103.5
Wenn ihr die Datei dann gemacht habt, legt sie einfach in das verzeichnis
Code:
/pages/admin
Damit währe das gesichert.
So kann man auch IP Ranges auf der Homepage bannen, in der .htaccess sind z.B. die China user gebannt.
Wenn ihr die Datei im Anhang nutzen wollt, dann müsst ihr sie erst entpacken.

Ich hoffe ich konnte euch damit weiterhelfen.

Mit freundlichen Grüßen
°Secret2
12/19/2010 20:56 [PixeL]#2
Oder man ändert einfach den namen der .php
12/19/2010 20:57 Nogrus#3
Nimm am besten den Link oben noch raus :D
12/19/2010 20:57 RealFreak#4
nope geht nicht, habe es gerade einmal probiert, jedoch wird man dann geblockt bzw wird nichts eingetragen, hatte also eingetragen, dann nachgeschaut und es ist NICHTS passiert^^

MfG RealFreak

bzw hier kleiner Ausschnitt der Fehlermeldung bei mir:
PHP Code:
Warningmysql_query(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/13/19/52275119/*zensiert*/pages/admin/gadmins.php on line 91

Warningmysql_fetch_object(): supplied argument is not a valid MySQL result resource in /mnt/web4/13/19/52275119/*zensiert*/pages/admin/gadmins.php on line 94
IP-Liste     Löschen 
12/19/2010 20:57 °Secret2#5
Joa kann sein, aber es ist doch einfacher was reinzu kopieren.
12/19/2010 20:59 ¿Freaky¿#6
Wie soll man den Fixx verstehen?
Er bannt doch nur die IP´s, das ist aber kein Fixx sondern eine möglichkeit.
Schreib mal wie man das macht und 100% kommt dann auch ein Fixx raus.
12/19/2010 21:02 °Secret2#7
Ich habe das hinter einer p-server domain gesetzt
Code:
pages/admin/gadmins.php
Das hat geklappt.

Wenn man die Datei reinmacht, dann sind automatisch alle ip´s von ausen gebantn, somit kommt keiner mehr rein.
12/19/2010 21:02 RealFreak#8
es ist recht einfach gemacht:
PHP Code:
www.deinwebseitenname.de/pages/admin/gaadmins.php 
admin ist adminbereich
gaadmins.php ist das Script, das GameAdmins eintragen lässt^^

MfG RealFreak
12/19/2010 21:04 [PixeL]#9
Quote:
Originally Posted by °Secret2 View Post
Ich habe das hinter einer p-server domain gesetzt
Code:
pages/admin/gadmins.php
Das hat geklappt.

Wenn man die Datei reinmacht, dann sind automatisch alle ip´s von ausen gebantn, somit kommt keiner mehr rein.
Schonmal selbst probiert?
es geht nämlich nicht :)
12/19/2010 21:05 °Secret2#10
Genau so ist es.
12/19/2010 21:07 °Secret2#11
Quote:
Originally Posted by [PixeL] View Post
Schonmal selbst probiert?
es geht nämlich nicht :)
Es kann gut sein das es nicht mehr bei allen klappt, aber bei manschen, darum habe ich den datei hochgeladen, weil damit kann das nicht mehr passieren.
12/19/2010 21:09 Avulsed#12
Naja hab die Datei einfach gelöscht (Brauche die eh nicht :D) Aber trotzdem danke für den Tipp ;)
12/19/2010 21:12 ¿Freaky¿#13
Das kann nicht gehen weil er keine Verbindung zur DB hat o.O
12/19/2010 21:13 °Secret2#14
Quote:
Originally Posted by ¿Freaky¿ View Post
Das kann nicht gehen weil er keine Verbindung zur DB hat o.O
Ich habe es eben bei einem server gemacht.
12/19/2010 21:15 ¿Freaky¿#15
Quote:
Originally Posted by °Secret2 View Post
Ich habe es eben bei einem server gemacht.
Könntest du mir vll ein Link geben per PN?
Kann mir schwer vorstellen das es geht.
Page 1 of 3 1 23