|
You last visited: Today at 11:43
Advertisement
[Exploit]FileInserting Lücke
Discussion on [Exploit]FileInserting Lücke within the Metin2 PServer Guides & Strategies forum part of the Metin2 Private Server category.
02/03/2011, 18:20
|
#16
|
elite*gold: 0 
Join Date: Jan 2011
Posts: 1,484
Received Thanks: 3,151
|
Quote:
Originally Posted by beat'brot
ich mein Tookies, er war in letzer zeit sagen wir nicht gerade "nett" zu mir,
und mit PN an !hen mein ich dich
|
Nein, ich release das hier jetzt für alle, damit die Com mal lernt, selbst
was zu machen -.- außerdem hat hen zurzeit keine Zeit.
|
|
|
|
02/03/2011, 18:25
|
#17
|
elite*gold: 50
Join Date: Dec 2009
Posts: 497
Received Thanks: 121
|
sag ich doch, wir solten uns nicht mit ihm anlegen, weil er der absolute Meister ist, und so cool ist, und jeder in ins Bett nehmen will etc.
btt: Mach doch nen gefixxtes Script in anhang, weil P Server hacking is echt erbärmlich
€dit: deinen post gelesen, wohl also nicht^^
|
|
|
|
|
02/03/2011, 18:25
|
#18
|
elite*gold: 152
Join Date: Nov 2008
Posts: 1,369
Received Thanks: 2,233
|
brot, fail.
Aber Tookies hat recht.. lasst die Bugs weg, sonsts gibts bald wieder Fixxes dagegen und man kann keine Noobserver bashen..
Aber !hen hat den Support für das Script eingestellt.
Und ich hab mit meinem Müllhaufen derzeit genug zutun, sodass ich mich da nicht auch drum kümmern kann oder will.
|
|
|
|
|
02/03/2011, 18:27
|
#19
|
elite*gold: 0
Join Date: Jan 2011
Posts: 1,484
Received Thanks: 3,151
|
Ich hab hier nirgends beschrieben, wie man es sinnvoll einsetzen kann,
was ihr aber auch mit etwas Verstand selbst rausfinden könnt.
|
|
|
|
|
02/03/2011, 18:43
|
#20
|
elite*gold: 3
Join Date: Jan 2010
Posts: 1,714
Received Thanks: 854
|
o0 scheiße is das geil.
Danke für den Tip.
Wen man das richtig einsetzt gehen so zu sagen 99% der server down, da fast jeder das hen! script hat 
|
|
|
|
|
02/03/2011, 19:17
|
#21
|
elite*gold: 0
Join Date: Feb 2008
Posts: 2,754
Received Thanks: 1,748
|
Quote:
Originally Posted by .Sh4rk
o0 scheiße is das geil.
Danke für den Tip.
Wen man das richtig einsetzt gehen so zu sagen 99% der server down, da fast jeder das hen! script hat |
Totaler Schwachsinn.
Rede keinen so Mist wenn du keine Ahnung hast.
Mindestens die Hälfte der Server hat ihre Homepage auf einem Webspace. Wenn open_basedir oder safe_mode bei PHP aktiviert sind, dann bringt dir die Lücke 'nen Scheiß. Die meisten Spaces haben auch magic_quotes_gpc aktiviert was das NULL-Byte unwirksam macht.
Zudem haben hier mit Sicherheit kaum User die nötige Erfahrung dafür, solche Lücken sinnvoll zu nutzen.
Viele fixxen den Bug und der Thread wird irgendwo in den Tiefen von EPvP untergehen, ganz einfach.
|
|
|
|
|
02/03/2011, 19:52
|
#22
|
elite*gold: 20
Join Date: Oct 2010
Posts: 1,303
Received Thanks: 457
|
Ist ungefähr ne warscheinlichkeit von 40% das es geht, habs mit 15 Servern getestet...
6 gingen, rest nicht
|
|
|
|
|
02/03/2011, 20:30
|
#23
|
elite*gold: 0
Join Date: Sep 2009
Posts: 132
Received Thanks: 19
|
Habe diese Lücke schon vor einem Monat an hen! per PN gemeldet.
Habe ihm auch gleich eine Lösung vorgeschlagen, da er jedoch nicht mehr für den Support zuständig ist, werde ich meine Lösung hier preisgeben:
PHP Code:
$sSites = array();
$siteHandle = opendir('pages');
while($sSite = readdir($siteHandle)) {
if($sSite != '..' && $sSite != '.' && $sSite != '.htaccess' && is_dir('./pages/'.$sSite)===false) {
$sKey = substr($sSite, 0, strpos($sSite, '.'));
$sSites[$sKey] = $sSite;
}
}
closedir($siteHandle);
if(isset($_GET['s']) && !empty($_GET['s'])) {
if(isset($sSites[$_GET['s']]) && !empty($sSites[$_GET['s']]) && is_file('./pages/'.$sSites[$_GET['s']])) {
include('./pages/'.$sSites[$_GET['s']]);
}
else {
include('./pages/'.$sSites['home']);
}
}
else {
include('./pages/'.$sSites['home']);
}
Damit erhält man ein Array, in dem alle Seiten gespeichert werden, die sich in "./pages/" befinden. Jedoch werden diese Seiten mit einem Schlüssel gespeichert, der zum Erhalten der Dateinamen notwendig ist. Nur jene Seiten, die sich in ./pages/ befinden, können aufgerufen werden. Somit sollte die genannte Lücke "gefixxt" sein. :P
Natürlich kann man dieses Script auch für den Admin-Bereich ausbauen, jedoch sehe ich im Moment keinen Bedarf dazu, da man dort einen Account mit ausreichenden Rechten benötigt.
Für Diejenigen, die nicht wissen, wie man diesen Fix einbaut. Den Teil damit überschreiben, der zuständig fürs Includen der Seiten ist.
MfG
~Deadly~
|
|
|
|
|
02/03/2011, 20:36
|
#24
|
elite*gold: 0
Join Date: Apr 2008
Posts: 8,649
Received Thanks: 5,465
|
Quote:
Originally Posted by Computerfreek
Totaler Schwachsinn.
Rede keinen so Mist wenn du keine Ahnung hast.
Mindestens die Hälfte der Server hat ihre Homepage auf einem Webspace. Wenn open_basedir oder safe_mode bei PHP aktiviert sind, dann bringt dir die Lücke 'nen Scheiß. Die meisten Spaces haben auch magic_quotes_gpc aktiviert was das NULL-Byte unwirksam macht.
Zudem haben hier mit Sicherheit kaum User die nötige Erfahrung dafür, solche Lücken sinnvoll zu nutzen.
Viele fixxen den Bug und der Thread wird irgendwo in den Tiefen von EPvP untergehen, ganz einfach.
|
Hier gibts leider zuviele, die meinen sie können mehr als sie es tatsächlich draufhaben 
|
|
|
|
|
02/03/2011, 21:11
|
#25
|
elite*gold: 125
Join Date: Apr 2008
Posts: 1,217
Received Thanks: 1,304
|
Ich wollte eigentlich schon vor 3-4 Tagen einen kleinen Patch veröffentlichen diesbezüglich. Da ich aber wenig Zeit hatte hab ichs nicht gemacht. Dann werd ich die neue Version gleich mal hochladen.
Und ja: wenn die Server vernünftig eingerichtet sind ist das eher ein geringfügiges Ding.
Edit: Download-Link für meine Version des Fixes:
|
|
|
|
|
02/03/2011, 22:33
|
#26
|
elite*gold: 0
Join Date: Jan 2011
Posts: 1,484
Received Thanks: 3,151
|
Danke hen!
Ich finde es super, dass du so schnell reagiert hast 
|
|
|
|
|
02/04/2011, 02:52
|
#27
|
elite*gold: 0
Join Date: Feb 2010
Posts: 7,220
Received Thanks: 6,758
|
Naja, danke für's erwähnen.
Und an alle kleinen Kinder, welche denken sie währen nun 1337 Gangstah,
freut euch nicht zu früh. Ihr habt keine Ahnung was ihr damit eigentlich
Macht und was ihr damit anstellen koennt, also bitte.
@Shark,
Was hast'n geraucht?
|
|
|
|
|
02/04/2011, 04:05
|
#28
|
elite*gold: 3
Join Date: Jan 2010
Posts: 1,714
Received Thanks: 854
|
Quote:
Originally Posted by Computerfreek
Totaler Schwachsinn.
Rede keinen so Mist wenn du keine Ahnung hast.
Mindestens die Hälfte der Server hat ihre Homepage auf einem Webspace. Wenn open_basedir oder safe_mode bei PHP aktiviert sind, dann bringt dir die Lücke 'nen Scheiß. Die meisten Spaces haben auch magic_quotes_gpc aktiviert was das NULL-Byte unwirksam macht.
Zudem haben hier mit Sicherheit kaum User die nötige Erfahrung dafür, solche Lücken sinnvoll zu nutzen.
Viele fixxen den Bug und der Thread wird irgendwo in den Tiefen von EPvP untergehen, ganz einfach.
|
Lol, wo Rede ich den hier scheiß?
Wieso macht ihr jeden von der Seite an?
mag ja sein das es nicht 99% sind aber einige davon könnten man Downen.
Es gibt viele Webhoster die haben safe_mode aus, und einige wissen nicht einmal was ein (php_safe_mode) ist.
Quote:
Originally Posted by .2good4you111
Ist ungefähr ne warscheinlichkeit von 40% das es geht, habs mit 15 Servern getestet...
6 gingen, rest nicht
|
Es gibt noch viele server bei denen das geht.
Quote:
Originally Posted by SoNiice'
Naja, danke für's erwähnen.
Und an alle kleinen Kinder, welche denken sie währen nun 1337 Gangstah,
freut euch nicht zu früh. Ihr habt keine Ahnung was ihr damit eigentlich
Macht und was ihr damit anstellen koennt, also bitte.
@Shark,
Was hast'n geraucht?
|
Wen ich deine scheiße lese wird mich schlecht, du tust immer auf 1337, als wärst du der ober Wisser.
Was ich Geraucht habe willst du wissen?
Geht dich nen Feuchten an
|
|
|
|
|
02/04/2011, 04:10
|
#29
|
elite*gold: 0
Join Date: Feb 2010
Posts: 7,220
Received Thanks: 6,758
|
Dir ist aber schon klar, dass safe_mode nht davor schützt in andere Verzeichnisse
Zu gehen? Sondern lediglich, dass du mit dem User nicht die Rechte übertrittst?
Daher, kannst du mir einen Fullaccount, weiterhin alles machen. Und zudem geht
es bei den meisten Servern nicht, weil sie es auf 'nem Webspace haben und auf
keinem Linuxroot, daher bringt es nicht viel und für Leute die Ahnung von LFIs, Shells
etc. haben ist die Diskussion hier beendet, da sowas nichts in elitepvpers zu suchen
hat ;O
|
|
|
|
|
02/04/2011, 04:53
|
#30
|
elite*gold: 0
Join Date: Jun 2009
Posts: 2,327
Received Thanks: 565
|
jeder webspace ist fast eiin linux root lol
|
|
|
|
 |
|
Similar Threads
|
FireFox Lücke !
12/28/2010 - Off Topic - 22 Replies
Dutzende Websites haben heimlich von ihren Besuchern Daten über zuvor aufgerufenen Seiten erfasst, wie ein Team von Computerwissenschaftlern jetzt herausfand. Die Informationen sind für verschiedenste Dienste interessant, darunter Online-Shops, die ihre Preise anpassen können, wenn sie wissen, dass der Besucher von einem Shop kommt, der ein Produkt zu einem niedrigeren Preis anbietet.
Passwörter werden bei der «History sniffing» genannten Technik zwar nicht abgefangen. Die Methode eignet...
|
Firefox lücke?
10/29/2010 - Off Topic - 2 Replies
Ich hab vorhin in den nachrichten gesehen das Firefox ne lücke hat und Hacker dadurch passwörter etc. herausbekommen können!
was sagt ihr dazu?
|
( Caali files ) Postbox Lücke
10/10/2010 - Flyff Private Server - 32 Replies
Tach.
ich hab ne schöne lücke bei der Postbox gefunden. Durch diese kann man sich soviel geld erstellen, wie man möchte.
Man muss nur 2 Chars auf einem Account haben, auf einem der beiden mindestens 500 Penya ( für post )
Dann sendet man an den anderen Char eine Mail.
Titel ist egal, es darf aber kein item mitgeschickt werden.
beim Text gebt ihr folgendes ein (nicht kopieren)
irgendeinenachricht','gewünschte menge an penya'); --
|
All times are GMT +1. The time now is 11:44.
|
|
![[Exploit]FileInserting Lücke](https://www.elitepvpers.com/forum/iconimages/metin2-pserver-guides-strategies/exploit-fileinserting-l-cke_ltr.gif){kind=small}
