Hacken durch Homepage?

~~[S]Skyline~~ · 10/18/2012, 18:08

Kann man durch ne Homepage den Root erhacken oder so? Vllt durch ranking.php?

Brauch ne ANtwort...

[17:56:22] Daniel: was das xD
[17:56:38] Tomi: ...
[17:56:41] Tomi: alle datein?
[17:56:44] Tomi: ich kann von dem script
[17:56:46] Tomi: auf den root
[17:56:48] Tomi: alle datein
[17:56:49] Tomi: kucken
[17:56:51] Tomi: löschen
[17:56:52] Tomi: downloaden
[17:56:53] Tomi: uploaden
[17:56:56] Tomi: usw
[17:56:59] Daniel: wie macht man die dann rein
[17:57:00] Tomi: mit 5min arbeit
[17:57:01] Tomi: auch root pw
[17:57:04] Tomi: ...........
[17:57:07] Tomi: zu viel info
[17:57:08] Tomi: xD
[17:57:11] Tomi:

[17:57:14] Daniel: sag ma
[17:57:21] Daniel: muss man vorrest aufm dem root sein=
[17:57:46] Tomi: ne
[17:57:46] Tomi: ^^
[17:57:51] Tomi: is doch jetz egal dann..
[17:57:54] Tomi: du hast eh keine psc
[17:58:14] Daniel: [17:57] Tomi:

<<< ne
^^
[17:58:15] Tomi: Rangliste.txt
[17:58:15] Tomi: ...
[17:58:22] Tomi: mal sehen
[17:58:22] Daniel: achso also per ranking
[17:58:25] Tomi: was da drin is
[17:58:27] Tomi: NE?
[17:58:32] Daniel: [17:58] Tomi:

<<< Rangliste.txt ?

~~.Secresy'~~ · 10/18/2012, 18:08

add mich skype: sentoxxx
bzw schau dein script nach backdoors durch^^

xTwiLightx · 10/18/2012, 18:12

Klar, wenn eine Homepage Lücken hat, kann man sich vollen Zugriff verschaffen.

Beliebte Lücken sind SQLinjections.

~~IaMWatchingYou~~ · 10/18/2012, 18:14

<33333 .. er weis nicht was sqli's sind xd , er weis ned was lfi sind rfi fqli usw... er is nab.. oder exploits , naja oder metasploit weis er wahrscheinlich auch nicht zu nutzen

und die rangliste.txt war ne datei wo der bob auf dem root hatte e.e deutsch cersteht er auch ned

@twi , hi^^

Eragøn · 10/18/2012, 19:01

Quote:

[17:57:00] Tomi: mit 5min arbeit
[17:57:01] Tomi: auch root pw

Das wil ich sehn wie du den hash crackst in 5 min , selbst mit guten rainbow tables dauert das seine zeit (das rausfinden) -> ändern geht schneller

BTW: rangliste.txt hallo? txt,s aufm webserver kann jeder lesen

~~Sachverständiger~~ · 10/18/2012, 19:02

sql injection .. wer ahnung hat ist bei ner nicht so geschützten hp in binnen von minuten (vllt nicht minuten aber es geht zügig) in der DB.

Sogar bei Onlinegames wie LastChaos wurde zb. per SQL Injection über das Accountsystem in die DB gekommen um files zu klauen.

~~Мarvin~~ · 10/18/2012, 20:19

Quote:

Originally Posted by Eragøn

Das wil ich sehn wie du den hash crackst in 5 min , selbst mit guten rainbow tables dauert das seine zeit (das rausfinden) -> ändern geht schneller

BTW: rangliste.txt hallo? txt,s aufm webserver kann jeder lesen

Wenn "jeder" den Inhalt deines Webpfads lesen kann, läuft schon was falsch.
Sind die Ports etc. alles zu? Gibt ja genug Helden die zu faul für Porteinstellungen
sind und gerne mal die komplette Firewall offen lassen XD

~~IaMWatchingYou~~ · 10/18/2012, 20:22

wer screen will soll skype kommen e.e , dann zeig ich mal , wie mein script aussieht , welches ich dort geuploadet hab...

~~Мarvin~~ · 10/18/2012, 20:25

Quote:

Originally Posted by IaMWatchingYou

wer screen will soll skype kommen e.e , dann zeig ich mal , wie mein script aussieht , welches ich dort geuploadet hab...

War das nicht irgendwas mit PHP Shell oder so?
Hab da nicht so viel Ahnung von, aber schonmal von gehört.

Muss ja eigentlich schon recht unsicher sein ..

~~IaMWatchingYou~~ · 10/18/2012, 20:27

Quote:

Originally Posted by Marvin'

War das nicht irgendwas mit PHP Shell oder so?
Hab da nicht so viel Ahnung von, aber schonmal von gehört.

Muss ja eigentlich schon recht unsicher sein ..

wenn man ne sqli/rfi/lfi/ nen exploit , nen "schönheits fehler im upload script" oder sonstiges findet nicht^^ , einfach shell uploaden und gut is es :P , und marvin <3 bin stolz auf dich^^.

ask marvin bin drin :O

[20:11:51] Daniel: igal hier Chris sit immanoch ned on der dreckige
[20:12:00] Daniel: du willst bestimmt schon anfange

[20:12:28] Daniel: was coden
[20:12:30] Daniel: xD
[20:12:41] Tomi: allgemein
[20:12:43] Tomi: hatte doch vor
[20:12:45] Tomi: 4th
[20:12:47] Tomi: und 5th job
[20:12:48] Tomi: xD
[20:12:58] Daniel: ja
[20:45:37] Tomi: ey
[20:45:39] Tomi: bin im root
[20:45:55] Daniel: welchen
[20:46:01] Tomi: von chris
[20:46:02] Tomi: xD
[20:46:03] Tomi: hacked
[20:46:13] Daniel: auch grad <3
[20:46:23] Tomi: du bist ned drin?^^
[20:46:28] Tomi: ich meins ernst
[20:46:30] Tomi: hab wirklich hacked
[20:46:31] Tomi: xD
[20:46:32] *** Tomi hat IMG_18102012_204632.png gesendet ***
[20:47:06] Daniel: ja echt
[20:47:13] Daniel: mach mal screen von deskto <3
[20:47:14] Daniel: desktop
[20:47:32] *** Tomi hat IMG_18102012_204731.png gesendet ***
[20:47:54] Tomi: hahahha xD
[20:47:59] Tomi: owned?
[20:47:59] Tomi: :O
[20:48:04] Tomi: User name
[20:48:05] Tomi: Tomi
[20:48:15] Daniel: ja weiter..
[20:48:21] Tomi: pw
[20:48:22] Tomi: sag ich dir ned
[20:48:24] Daniel: die haben root formatiert
[20:48:25] Tomi: hab marvin gesagt
[20:48:26] Tomi: xD
[20:48:27] Tomi: und?
[20:48:29] Tomi: bin trz drin
[20:48:30] Tomi: lol
[20:48:34] Daniel: [20:48] Tomi:

<<< hab marvin gesagt
xD
und?
bin trz drin
lol
[20:48:37] Daniel: was marvin?
[20:48:40] Tomi: tja
[20:48:46] Tomi: der hat an mich geglaubt
[20:48:46] Tomi:

[20:48:52] Tomi: ich sagte bin gleich im root
[20:48:52] Tomi: er lol
[20:48:54] Tomi: und ich ja
[20:48:55] Tomi: bin drin
[20:48:55] Tomi: xD
[20:48:59] Daniel: ahja
[20:49:03] Daniel: k
[20:49:07] Tomi: frag ihn
[20:49:10] *** Tomi hat eine Gruppenkonversation erstellt
Gruppenkonversation anzeigen ***
[20:49:11] Daniel: sag doch mal pw als test um es zu sehn
[20:49:23] Tomi: komm teamviewer
[20:49:31] Daniel: datn

~~pixelz~~ · 10/18/2012, 20:51

Quote:

Originally Posted by IaMWatchingYou

wenn man ne sqli/rfi/lfi/ nen exploit , nen "schönheits fehler im upload script" oder sonstiges findet nicht^^ , einfach shell uploaden und gut is es :P , und marvin <3 bin stolz auf dich^^.

So wie damals mit der tollen webdav lücke. hab meine modifizierte c100.php immer noch auf meinem Rechner...

~~IaMWatchingYou~~ · 10/18/2012, 20:56

nope ohne webdav ^^ , kann dir gerne per teamviewer zeigen wie , mein schatz

~~[S]Skyline~~ · 10/18/2012, 20:58

Er hat ein Root hacked woahh wie toll bla bla bla...

~~Мarvin~~ · 10/18/2012, 20:58

Quote:

Originally Posted by pixelz

So wie damals mit der tollen webdav lücke. hab meine modifizierte c100.php immer noch auf meinem Rechner...

Ne ist kein Webdav. Ist zwar meistens so die Vorgehensweise,
hier ist es aber um einiges "simpler".

~~IaMWatchingYou~~ · 10/18/2012, 20:58

46.228.199.181/webdav .. ich seh da nichts
was ist da simpler XD?

asooo "SIMPLER" les ich doch gleich ... falsch^^

.. hätte ich den admin nicht benachrichtigt .. er hat den root formatiert -.- such a ******