SQL Injection - World of Revenge

.Infinity · 07/20/2010, 22:44

Yey yey liebe World of Revenge Besitzer.

Da ich nicht so nen ***** wie die anderen bin und eure Page euren Server lösche,bin ich mal so freundlich euch auf eure Lücken im Itemshop hinzuweisen.

Das sind die Daten aus der admin Tabelle bei Account,
ich kann eig ziemlich vieles bei euch auslesen.
Naya egal

Schaut selbst wie ihr es fixxed.
Wollt euch nur drauf hinweisen bevor ihr hacket werdet

Habs PW ausgeblendet das erste ist die ID aus der Spalte ID !

Best Regards,
.Infinity

PS,
Nein ich konnt dem Admin keine Private Nachricht schreiben da ich ihn net kenne.
Blubb

Lixos · 07/20/2010, 22:46

und was daran nun ne lücke?

Ap0kalyps3 · 07/20/2010, 22:48

Quote:

Originally Posted by Lixos

und was daran nun ne lücke?

Trottel?!
Das pay Script vom Itemshop hat ne Lücke bei der Übergabe der Variablen.
Somit kannst du selbst MySQL Code einschleusen (nennt man dann Injection), mit dem du zum Teil die ganze Datenbank löschen / verändern kannst.

keine schöne angelegenheit und würde ich auch keinem Server wünschen.
Gruß,
Ap0

.Infinity · 07/20/2010, 22:49

Quote:

Originally Posted by Lixos

und was daran nun ne lücke?

Schon was von der Tabelle admin gehört?
In der Account DB.
Das sind die Daten ausgelesen per Injection.
Die werden fürs Admin Panel benötigt.
Du kannst per Injection mit dem richtigen Script auch mehr als nur auslesen.
Wegen der Where Klausel kann ich nur bei Select bleiben.
Insert Update Create Drop
Tabellen löschen etc ist mir nicht gelungen.
Das hier reicht aber auch die Daten fürs Admin Panel.
Ich kann auch Tabellen einfach komplett auslesen lassen.
Paar md5 hashes pw sicherlich nicht schlecht.
Dazu kommt manche tragen die PW unverschlüsselt und verschlüsselt ein wenn sie unverschlüsselt drin stehen ich die Spalte herausfinde,
Win.
Alle Pw's von jedem

~~[-Lee-]~~ · 07/20/2010, 22:54

Inif finds langsamm sry echt affig , jetzt wissen es leute das die ne lücke habe und *** ... hast eig dafür gesorgt das kleine kinder jetzt anfange da stress zu schieben

du wolltest weg von M2 dann mach es auch aber ziehe hier nicht so nen blöde tour in e*pvp ab wie du es in letzer zeit machst

~~Tupacc~~ · 07/20/2010, 22:56

wenn ich daten hätte wurd ich erstmal geld klauen

~~westilein~~ · 07/20/2010, 22:58

Du schon, Infi nicht.

€dit: Wie willst überhaupt geld klauen? Das geht gar nicht.

~~αίίR7 :3~~ · 07/20/2010, 23:00

sowas nennt man simples SQL Injection, wenn man zu doof is real escape zu konfigurieren, da haste es wohl ohne meine hilfe hinbekommen, mein meister infinity !

gatinho88 · 07/20/2010, 23:14

omg hättest mich zwar pn können aber danke ^^

.Infinity · 07/20/2010, 23:18

Quote:

Originally Posted by gatinho88

omg hättest mich zwar pn können aber danke ^^

Naya bis ihr es gefixxt hab stöber ich noch in eurer DB rum xD

Keine Sorge ich mach nichts böses

~~Tupacc~~ · 07/20/2010, 23:20

ich meine ja das es bestimmt ne psc table gibt

~~R0bo7~~ · 07/20/2010, 23:21

xD 100% von allem ne copi machen xD

.Infinity · 07/20/2010, 23:30

Quote:

Originally Posted by .Fatih

xD 100% von allem ne copi machen xD

Ne ich les grad deren item_proto durch und schau ob die neue Sachen haben xd
Hmm ne PSC tabelle, ne klauen ist scheiße aber die gmlist und gmhost währe interissant mal anzuschauen.
Mach ich mal mom

Player.php entfernt **** it.
Naya nächsten Server suchen.

synox07162 · 07/20/2010, 23:39

Quote:

Originally Posted by .Infinity

Ne ich les grad deren item_proto durch und schau ob die neue Sachen haben xd
Hmm ne PSC tabelle, ne klauen ist scheiße aber die gmlist und gmhost währe interissant mal anzuschauen.
Mach ich mal mom

Player.php entfernt **** it.
Naya nächsten Server suchen.

Schade das es mit NW2 nicht geht

.Infinity · 07/20/2010, 23:41

Quote:

Originally Posted by synox07162

Schade das es mit NW2 nicht geht

Naya würde bei Nw2 nichts machen außer es Downi Privat sagen!