[Fixx] Hen! CMS

°Secret2 · 12/19/2010, 20:53

Hallo,

Wir haben grade eine neue Sicherheitslücke in Hen! seinem CMS gefunden.
Damit kann man sich einen Admin Acc auf der HP machen und dann einen auf kleinen GM spielen.

Den will ich euch jetzt geben, aber natürlich will ich euch auch den Fixx dazu geben.

Da könnt ihr euch einfach nen Admin Acc anlegen.
So einfach wie das ist, ist es auch zu beheben.

Ihr macht mir Notepad++ eine .htaccess datei.

Fügt folgenden inhalt rein.

Code:

order deny,allow
deny from 125.30. #??
deny from 91.187.103.5

Wenn ihr die Datei dann gemacht habt, legt sie einfach in das verzeichnis

Code:

/pages/admin

Damit währe das gesichert.
So kann man auch IP Ranges auf der Homepage bannen, in der .htaccess sind z.B. die China user gebannt.
Wenn ihr die Datei im Anhang nutzen wollt, dann müsst ihr sie erst entpacken.

Ich hoffe ich konnte euch damit weiterhelfen.

Mit freundlichen Grüßen
°Secret2

[PixeL] · 12/19/2010, 20:56

Oder man ändert einfach den namen der .php

Nogrus · 12/19/2010, 20:57

Nimm am besten den Link oben noch raus

~~RealFreak~~ · 12/19/2010, 20:57

nope geht nicht, habe es gerade einmal probiert, jedoch wird man dann geblockt bzw wird nichts eingetragen, hatte also eingetragen, dann nachgeschaut und es ist NICHTS passiert^^

MfG RealFreak

bzw hier kleiner Ausschnitt der Fehlermeldung bei mir:

PHP Code:


			
Warning: mysql_query(): supplied argument is not a valid MySQL-Link resource in /mnt/web4/13/19/52275119/*zensiert*/pages/admin/gadmins.php on line 91

Warning: mysql_fetch_object(): supplied argument is not a valid MySQL result resource in /mnt/web4/13/19/52275119/*zensiert*/pages/admin/gadmins.php on line 94
IP-Liste     Löschen

°Secret2 · 12/19/2010, 20:57

Joa kann sein, aber es ist doch einfacher was reinzu kopieren.

~~¿Freaky¿~~ · 12/19/2010, 20:59

Wie soll man den Fixx verstehen?
Er bannt doch nur die IP´s, das ist aber kein Fixx sondern eine möglichkeit.
Schreib mal wie man das macht und 100% kommt dann auch ein Fixx raus.

°Secret2 · 12/19/2010, 21:02

Ich habe das hinter einer p-server domain gesetzt

Code:

pages/admin/gadmins.php

Das hat geklappt.

Wenn man die Datei reinmacht, dann sind automatisch alle ip´s von ausen gebantn, somit kommt keiner mehr rein.

~~RealFreak~~ · 12/19/2010, 21:02

es ist recht einfach gemacht:

PHP Code:


			
www.deinwebseitenname.de/pages/admin/gaadmins.php

admin ist adminbereich
gaadmins.php ist das Script, das GameAdmins eintragen lässt^^

MfG RealFreak

[PixeL] · 12/19/2010, 21:04

Quote:
Originally Posted by °Secret2
Ich habe das hinter einer p-server domain gesetzt
Code:
pages/admin/gadmins.php
Das hat geklappt.

Wenn man die Datei reinmacht, dann sind automatisch alle ip´s von ausen gebantn, somit kommt keiner mehr rein.

Schonmal selbst probiert?
es geht nämlich nicht

°Secret2 · 12/19/2010, 21:05

Genau so ist es.

°Secret2 · 12/19/2010, 21:07

Quote:

Originally Posted by [PixeL]

Schonmal selbst probiert?
es geht nämlich nicht

Es kann gut sein das es nicht mehr bei allen klappt, aber bei manschen, darum habe ich den datei hochgeladen, weil damit kann das nicht mehr passieren.

Avulsed · 12/19/2010, 21:09

Naja hab die Datei einfach gelöscht (Brauche die eh nicht

) Aber trotzdem danke für den Tipp

~~¿Freaky¿~~ · 12/19/2010, 21:12

Das kann nicht gehen weil er keine Verbindung zur DB hat o.O

°Secret2 · 12/19/2010, 21:13

Quote:

Originally Posted by ¿Freaky¿

Das kann nicht gehen weil er keine Verbindung zur DB hat o.O

Ich habe es eben bei einem server gemacht.

~~¿Freaky¿~~ · 12/19/2010, 21:15

Quote:

Originally Posted by °Secret2

Ich habe es eben bei einem server gemacht.

Könntest du mir vll ein Link geben per PN?
Kann mir schwer vorstellen das es geht.