Forum zum WebKicks.De Chatsystem Foren-Übersicht Forum zum WebKicks.De Chatsystem
Support-Forum zum WebKicks-Chatsystem
 
 FAQFAQ   SuchenSuchen   MitgliederlisteMitgliederliste   BenutzergruppenBenutzergruppen   RegistrierenRegistrieren 
 ProfilProfil   Einloggen, um private Nachrichten zu lesenEinloggen, um private Nachrichten zu lesen   LoginLogin 

Dieses Forum dient als Archiv, es können keine neuen Beiträge eröffnet werden.

Hier geht es zum neuen Webkicks Forum
.

Chat hacken - ganz legal!
Gehe zu Seite Zurück  1, 2, 3 ... , 9, 10, 11  Weiter
 
Neues Thema eröffnen   Neue Antwort erstellen    Forum zum WebKicks.De Chatsystem Foren-Übersicht -> Allgemeines
Vorheriges Thema anzeigen :: Nächstes Thema anzeigen  
Autor Nachricht
DjDiSaSteR




Anmeldedatum: 15.06.2008
Beiträge: 32
Wohnort: Königs Wusterhausen

BeitragVerfasst am: 15.08.2008, 14:31    Titel: Antworten mit Zitat

MoM Muss Mann noch gedult haben Ja.
Weil Wie Heist Es So Schön


Code:
In Der Ruhe Liegt Die Kraft


Von Daher. Na Ja Das Habe Icke Zwar Nicht Aus Dem Impressum aber egal. Icke Weis Sogar Wo Alles Gehostet Wird und So. Genau So Wie Dieses Forum Wo Das Gehostet Wird und Alles.

Code:
Impressum
Torsten Rückert Internetdienstleistungen
Rahel-Straus-Weg 4
81673 München
Email: support@webkicks.de
Tel.: 0900 - 133 00 43 (1,99 EUR/Min)
Fax: 089 - 43 1816 28
USt-IdNr.: DE239250685


Meine Sache Is Ja Woll So

Code:
Torsten Rueckert
Am Steinebrück 99
40589 Düsseldorf
0211/9754386
torstenru@gmx.de




So icke Werde Dann Ersmal Wieder Arbeiten JaUnd Dann Werde Icke Mich Um Denn Rest Kümmern. Damit Nicht Imemr So Viel kommt Mit Demm WIE LANGE NOCH???
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen AIM-Name Yahoo Messenger MSN Messenger
Kiba




Anmeldedatum: 25.06.2004
Beiträge: 215

BeitragVerfasst am: 15.08.2008, 18:16    Titel: Antworten mit Zitat

Cool. Kannst du mir das beibringen?

Ich mein, les am besten mal folgendes:

Zitat:
"Die in der whois-Abfrage ersichtlichen Domaindaten sind rechtlich geschützt. Sie dürfen nur zum Zwecke der technischen oder administrativen Notwendigkeiten des Internetbetriebs oder zur Kontaktaufnahme mit dem Domaininhaber bei rechtlichen Problemen genutzt und ohne ausdrückliche schriftliche Erlaubnis der DENIC eG weder elektronisch noch in anderer Art gespeichert werden. Insbesondere die Nutzung zu Werbe- oder ähnlichen Zwecken ist ausdrücklich untersagt."


Du hast es also geschaft die Domain in eine whois Abfrage einzugeben...respekt! Hoffentlich hast du auch ein rechtliches Problem mit dem Domaininhaber. Aber du bist ja ein Hecka und darfst das natürlich auch einfach so stimmts? Oh...achja...gehts hier nicht um das hacken von Chats...und nicht um eine whois abfrage einer Domain?

WAS um alles in der Welt bringt dir deine erhellende Erkenntnis?

Und wo wird den alles gehostet? Bei Webkicks zuhause? Überrascht
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Zischdings
Webkicks - Team



Anmeldedatum: 22.12.2004
Beiträge: 6161

BeitragVerfasst am: 15.08.2008, 21:42    Titel: Antworten mit Zitat

DjDiSaSteR hat Folgendes geschrieben:
...Und Dann Werde Icke Mich Um Denn Rest Kümmern..

na dann mach mal hinne du hacker *g
insgesamt drei fehlzugriffe am 03.08. und 5 fehlzugriffe heute früh sind ja doch noch recht kläglich Smilie
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
TrioxX




Anmeldedatum: 27.08.2008
Beiträge: 2
Wohnort: Gladbeck

BeitragVerfasst am: 27.08.2008, 16:50    Titel: Antworten mit Zitat

DjDiSaSteR hat Folgendes geschrieben:
MoM Muss Mann noch gedult haben Ja.
Weil Wie Heist Es So Schön


Code:
In Der Ruhe Liegt Die Kraft


Von Daher. Na Ja Das Habe Icke Zwar Nicht Aus Dem Impressum aber egal. Icke Weis Sogar Wo Alles Gehostet Wird und So. Genau So Wie Dieses Forum Wo Das Gehostet Wird und Alles.

Code:
Impressum
Torsten Rückert Internetdienstleistungen
Rahel-Straus-Weg 4
81673 München
Email: support@webkicks.de
Tel.: 0900 - 133 00 43 (1,99 EUR/Min)
Fax: 089 - 43 1816 28
USt-IdNr.: DE239250685


Meine Sache Is Ja Woll So

Code:
Torsten Rueckert
Am Steinebrück 99
40589 Düsseldorf
0211/9754386
torstenru@gmx.de




So icke Werde Dann Ersmal Wieder Arbeiten JaUnd Dann Werde Icke Mich Um Denn Rest Kümmern. Damit Nicht Imemr So Viel kommt Mit Demm WIE LANGE NOCH???


Hättest du uns nun noch verraten, dass die Webkicks Haupt-IP 80.67.17.35 lautet, hätte man dir vielleicht einen Funken Glauben schenken können...

Laut deiner "Erläuterung" ist jedes System hackbar. Ist es eh, d kein System perfekt ist... Aber mit der Logik... Naja Winken

Ich habe mir das Gnze hier mal teilweise durchgelesen und musste herzhaft lachen.

Der Webkicks Chat ist durch irgendwelche Exploits oder sonst etwas nicht hackbar.

Webkicks hat sich schon vor zig von Jahren als hervorragendes, sicheres und effizientes Chatsystem erwiesen. Er basiert auf dem System RalfsChat und ist seit Bestehen um vieles Verändert worden.

Sicherlich schleichen sich bei etwaigen Neuerungen hier und da mal irgendwelche Fehler ein und manchmal merkt man das auch nicht sofort.

Es gibt sehr wohl eine Lücke im WK-Chat, jedoch ist diese nicht wirklich von großem Nutzen, es sei denn, man besitzt das nötige Know-How. Dabei handelt es sich um eine simple XSS Lücke, die das ausspähen der Session(-Cookies) ermöglichen würde. Bringt aber herzlich wenig. Und noch viel weniger, wenn man damit nicht umzugehen weiß. Diese Lücke würde es unter Umständen (ebenfalls nur dann, wenn man weiß, was man tut...) ermöglichen, den Chatadmin Dinge tun zu lassen, die er garnicht tun will d.h. man könnte den Chat löschen, die User löschen uswusw.

Dazu muss man aber den Chat innerlich kennen (d.h. man muss zumindest wissen, was die Vorraussetzungen zur Userlöschung etc. sind d.h. Post-Variablen/Parameter checken usw.) und einen Doofen finden, der auf das Spielchen reinfällt. Leider gibt es doch recht viele davon (ohne irgendwen angreifen zu wollen...).

Glücklicherweise hat sich das Team jahrelang um die Sicherheit ihres Systems bemüht. jedoch wurde eine weitaus größere Bedrohung bisher eher unbeachtet gelassen: Das Forum.

Das Forum und das eigentliche Hostsystem, das Herzstück von Webkicks, liegen auf ein und sem selben Server. Ob es sich nun um die gleichen Webs handelt sei dahin gestellt.

Es ist für viele Personen unverkennbar, dass die hier eingesetzte Version des phpBB nicht gerade die Neueste ist. Und wie das nunmal mit alter Software so ist, existieren auch einige Exploits dafür. Ich kann mich natürlich täuschen und kritisiere etwas längst behobenes. Sollte dem nicht so sein, kann das am Ende schwewiegende Folgenden haben.

Es gibt im Bezug auf meine letzte Aussage die Möglichkeit einer sog. PHPShell, die diverse Operationen auf dem Server (darunter fallen Dateidownload, Dateilöschung, Dateibearbeitung etc.) ohne irgendwelche Passwörter o.ä. ermöglichen. Dazu gehört auch der MySQL Server, an welchen der Chat mit Sicherheit geknüpft ist, da das Chatsystem garantiert nicht nur (wenn überhaupt) auf Flatfiles basiert.

Ein potentieller Angreifer hätte also, wenn der Server falsch konfiguriert wurde (da reicht schon deaktivierter SafeMode *anmerk*), die Möglichkeit, sich nicht nur dem Hostsystem mächstig zu machen (und es dann ggf. zu verkaufen oder sonst etwas...), sondern eventuell auch die Möglichkeit, sämtliche Dienste von WK auf unbestimmte Zeit komplett lahm zu legen.

Das soll auch keine Angstmacherei sein. Ich denke mal, dass auch das Drumrum gut genug gesichert ist. Falls nicht: Der Hinweis ist geschenkt Winken

Hier mal ein Beispiel anhand meines eigenen Servers, wie sich so etwas am Ende auswirken kann. Das Beispiel wurde auf einem Testweb innerhalb meiner Kundenumgebung getestet. Zur Demonstratation war die Deaktivierung einiger Dinge nötig (siehe oben):



Ich habe für diese Demonstration schnell mal eine kleine Umgebung gebastelt. Wer sich ein wenig mit *NIX-Systemen auskennt, wird sehen, dass ich den Weg aus dem Kundenweb gefunden habe und mich letztlich im eigentlichen System befinde. Ich hätte nun die Möglichkeit, Konfigurationsdateien einzusehen, herunter zu laden oder zu löschen oder sonst etwas...

Ist auch nur ein simples Beispiel. Lange Rede, kurzer Sinn: Der Chat selbst ist nicht angreifbar. Selbst mit der oben beschriebenen XSS Sicherheitslücke ist die Chance auf Erfolg sehr gering (aber es gäbe eine...). Wenn Webkicks sich also Gedanken um Sicherheit machen müsste, dann wäre das im Frontend.

Gruß,
Sascha
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger
Kiba




Anmeldedatum: 25.06.2004
Beiträge: 215

BeitragVerfasst am: 27.08.2008, 17:46    Titel: Antworten mit Zitat

Das die Posts hier nicht wirklich ernste "hacker" posts sind, sollte wohl jedem klar sein, der sich einwenig damit auskennt.

Das Webkicks auf einem anderem system aufbaut ist imho falsch jedenfalls nicht auf dem von dir genannten...das von dir genannte system hat nur im "aussehen" vielleicht ein paar Eigenschaften von Webkicks.
Im Hintergrund läuft aber nicht das selbe script...selbst wenn, muss es schon stark umgebaut worden sein...was sich schon fast an eine neuprogrammierung anlehnt

Zu deiner "XSS" Lücke um einen Session Cookie auszuführen...ich selbst seh nun im CHAT keine Möglichkeit dieses XSS Angriffes...selbst wenn sich ein Script durch einen fremden Browser ausführen lassen würde...wäre das speichern eines "Session-Cookies" wohl nicht möglich, da Webkicks keine Cookies einsetzt...was hier möglich wäre, wäre das übertragen des verschlüsselten Passwortes...hier im Forum oft "SID" genannt auch wenn es keine original SID ist...

phpBB:
Selbst wenn phpBB 3 schon raus ist, wird es bei Bedarf bis 01.02.2009 sicherheitsupdates für die 2. Version geben:

Zitat:

Folgender Zeitplan wurde angekündigt:

* 01.10.2008: phpBB 2.0 wird nicht mehr als Download angeboten. Es wird aber weiterhin über SourceForge zur Verfügung stehen.
* 01.01.2009: Der offizielle Support von phpBB.com für phpBB 2.0 wird eingestellt. Support für die Konvertierung von phpBB 2.0 auf 3.0 wird weiterhin angeboten.
* 01.02.2009: Letzer Tag, an dem bei Bedarf Sicherheitsupdates für phpBB 2.0 bereitgestellt werden.




Nun zum Hostsystem...das Herzstück, dass ja angeblich auf dem selben System liegt wie das Forum...

das Webkicks mindestens 6 Server besitzt...
Startseite/Forum/Wiki, wkhost, server1, server2, server3, server4
sollte klar sein...mindestens 4 davon sind ja sogar durch Nummern gekennzeichnet.

Welches dieser Hostssysteme ist nun das "Herzstück"? Ich wüsste keinen Grund, wesshalb die Server aufeinander angewiesen sein sollen...sie werden sicher alle ihre eigene Datenbank besitzen...

Sollte das Forum "geknackt" werden...wäre der zugriff auf die Chatsysteme nicht möglich...Wie nun das Systemscript auf die serverdaten zugreift...kann ich nicht sagen (ich hoffe/denke mal nicht über Zugriff per Datenbank)

phpShells Überrascht
Bei einem richtig konfiguriertem Apache (auch SafeMode off) bieten sie keinen zugriff auf Datenbanken ohne Passwort sowie auf Files, die ausserhalb des include_path bzw. des users zulassen sondern lediglich als one-file-phpmyadmin eingesetzt werden können um überhaupt eine lokalhost verbindung mit der Datenbank aufbaun zu können...
Warum hast du nicht gleich Shells erwähnt die einen "SafeMode"-Bypass besitzen?
Achja...tatsache ist eher, dass Jeder normale user des Systems ebenfalls in das von dir angegebene verzeichnis gelangen können...jedoch keine möglichkeit haben irgendetwas anzustellen...

Dessweiteren geht es in erster linie hier um das hacken der Chats im kleinen...weder um das hacken von phpbb noch um den einsatz von phpshells (welche übrigens bei einem richtig konfiguriertem apache ebenfalls keinen zugriff auf Datenbanken ohne Passwort zulassen sondern lediglich als one-file-phpmyadmin eingesetzt werden können)
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Webkicks
Webkicks - Team



Anmeldedatum: 02.05.2003
Beiträge: 3974

BeitragVerfasst am: 27.08.2008, 19:48    Titel: Antworten mit Zitat

Kiba hat Folgendes geschrieben:
Das Webkicks auf einem anderem system aufbaut ist imho falsch jedenfalls nicht auf dem von dir genannten...das von dir genannte system hat nur im "aussehen" vielleicht ein paar Eigenschaften von Webkicks.

Das kann ich nur unterstreichen, Webkicks basiert auf einem anderen System, das bereits 1999 entwickelt wurde (und zwar ebenfalls von uns). Auch hier wurden aber keine Codes übernommen, sondern nur die gesammelten Erfahrungen. Das wir keine Cookies einsetzen ist ebenfalls korrekt. Genauso auch, dass das Forum definitiv nicht auf einem Chatserver läuft (über einen IP-Abgleich auch einfach zu ermitteln). 99 Gummipunkte für Kiba Smilie
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
TrioxX




Anmeldedatum: 27.08.2008
Beiträge: 2
Wohnort: Gladbeck

BeitragVerfasst am: 27.08.2008, 20:39    Titel: Antworten mit Zitat

Zitat:
Genauso auch, dass das Forum definitiv nicht auf einem Chatserver läuft (über einen IP-Abgleich auch einfach zu ermitteln).


Meine Aussage bezog sich auch nicht auf die Chatserver im Allgemeinen. Mit Herzstück meinte ich eher eure Hauptseite samt Registrierungssystem usw.

Die XSS Lücke war auch nicht unbedingt auf Cookies bezogen sondern nur Verständlich ausgedrückt Smilie Dass hier eine SessionID eingesetzt wird, ist mir durchaus bewusst. Nur ließe sich mit einer aktiven Session eines bzw. des Admin höchstens etwas anstellen. Das war, was ich meinte.

Das ihr das Chatsystem komplett selbst gebaut habt, war mir bisher nicht bekannt. Ich bin halt von der Ähnlichkeit der beiden Systeme ausgegangen und es hatte mich schon gewundert, dass Webkicks nicht nur das Aussehen des RalfChat übernommen hat, sondern auch gleich die Tatsache, dass es sich um einen Perl/CGI Chat handelt. Aber wenns nicht so ist, ists auch gut. Ich kann mich ja auch mal täuschen Sehr glücklich

Was ich durch meinen Text lediglich sagen wollte ist: Der WKChat ist auf normale Weise bzw. ohne dritte Instanzen nicht hackbar.

Zitat:
das Webkicks mindestens 6 Server besitzt...
Startseite/Forum/Wiki, wkhost, server1, server2, server3, server4
sollte klar sein...mindestens 4 davon sind ja sogar durch Nummern gekennzeichnet.


Ob die Startseite und das Hostsystem auf dem gleichen Server liegen, weiß ich nicht. Ich hoffe jedoch, dass dem nicht so ist. Auch hier kann ich mit meiner Aussage definitiv falsch liegen. Ich bin halt von dem Stand ausgegangen, dass das Forum sowie die Startseite auf einem Server liegen und folglich auch das eigentliche Hostsystem. Ob es anders ist, weiß ich natürlich auch nicht Winken

Zitat:
welche übrigens bei einem richtig konfiguriertem apache ebenfalls keinen zugriff auf Datenbanken ohne Passwort zulassen sondern lediglich als one-file-phpmyadmin eingesetzt werden können


Jein. MySQL muss die Daten schließlich auch irgendwo speichern Winken

Zitat:
Warum hast du nicht gleich Shells erwähnt die einen "SafeMode"-Bypass besitzen?


Man denkt ja bekanntlich nicht immer an alles Winken

Zitat:
Achja...tatsache ist eher, dass Jeder normale user des Systems ebenfalls in das von dir angegebene verzeichnis gelangen können...jedoch keine möglichkeit haben irgendetwas anzustellen...


Das muss ich dementieren. Ein richtig konfigurierter Server lässt einen Zugriff auf das System außerhalb des UID Bereiches nicht zu. Dass das nicht nur SafeMode abhängig ist, ist schon klar.

Also... Mir ist durchaus bewußt, dass mein Beitrag nicht grundlegend auf das Chatsystem bezogen war. Meine Absicht war es lediglich, in einer ausfürlichen Beschreibung zu sagen: Der WKChat ist nicht knackbar.

Amen Sehr glücklich

EDIT: Okay, Hostsystem und Huptseite/Forum/Wiki gehören wirklich nicht zusammen Smilie Also einfach einen Großteil meiner Aussage wieder vergessen Sehr glücklich
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen MSN Messenger
kumpelsau


Verwarnung

Anmeldedatum: 25.12.2007
Beiträge: 396
Wohnort: Am PC :Þ

BeitragVerfasst am: 17.09.2008, 17:01    Titel: Antworten mit Zitat

Ich glaube Webkicks hat 5 Server:
Server 1
Server 2
Server 3
Server 4
Hauptseite-Wiki-Supportforum(1 Server)


Ich weiß noch mehr IPs:
Server 1 213.203.222.90
Server 2 213.203.199.73
Server 3 213.203.199.79
Server 4 213.203.201.252
Hauptseite-Wiki-Supportforum 80.67.17.35

Ich glaube die müssten korrekt sein.

grüße
kumpi Winken
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden E-Mail senden Website dieses Benutzers besuchen
hamigra




Anmeldedatum: 31.08.2006
Beiträge: 1601
Wohnort: Werdau

BeitragVerfasst am: 17.09.2008, 17:46    Titel: Antworten mit Zitat

Dann machen wir es unserem Superhacker mal etwas leichter um wenigstens den Server1 zu 'Hacken' Winken

Fahre dorthin--->

Bewaffne dich vorher mit einer großen

und dort kannst du den Server hacken

Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
Technik
Webkicks - Team



Anmeldedatum: 02.05.2003
Beiträge: 556

BeitragVerfasst am: 17.09.2008, 18:23    Titel: Antworten mit Zitat

Ich weiß ja nicht, wie du bzw dein lustiges Programm auf Bern kommt, aber Düsseldorf ist dann doch leeeeeiiiicht woanders Lachen
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden
Linus




Anmeldedatum: 14.02.2005
Beiträge: 672
Wohnort: NRW

BeitragVerfasst am: 17.09.2008, 18:25    Titel: Antworten mit Zitat

Unter der Annahme das er wie ich ip-adress.com nutzt, das spintn heute, mir zeigts maxhütte-haidhof bei nürnberg an^^ bei der ip 213.203.222.90 El mundo es loco...
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen Yahoo Messenger MSN Messenger
hamigra




Anmeldedatum: 31.08.2006
Beiträge: 1601
Wohnort: Werdau

BeitragVerfasst am: 17.09.2008, 19:09    Titel: Antworten mit Zitat

Technik hat Folgendes geschrieben:
Ich weiß ja nicht, wie du bzw dein lustiges Programm auf Bern kommt, aber Düsseldorf ist dann doch leeeeeiiiicht woanders Lachen


Ups - da ist das falsche Bild reingeraten - hab es aber jetzt richtig Winken
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
blackyy




Anmeldedatum: 29.08.2008
Beiträge: 190
Wohnort: Rheinberg

BeitragVerfasst am: 05.10.2008, 22:06    Titel: Antworten mit Zitat

Guten Tag,
Ich habe ein eigenen Chat!
Aber seit dem ich jemanden aus mein Team geschmissen habe, geht immer jemand mit meinem namen (und den anderen Admins) rein und entbannt und löscht smile´s. obwohl wir alle unsere passw. geändert haben !
Habe ein sehr schweres mit 10 buchstaben/ zahlen .
und es passiert ständig.
was kann ich dagegen tun ????
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name Yahoo Messenger MSN Messenger
Webkicks
Webkicks - Team



Anmeldedatum: 02.05.2003
Beiträge: 3974

BeitragVerfasst am: 05.10.2008, 22:27    Titel: Antworten mit Zitat

Alle Passwörter der Admins ändern, alle Passwörter der dort hinterlegten Mailadressen ändern und ggf. auch alle Admin-PCs auf Viren/Trojaner scannen. Wenn das nicht hilft, dann vorrübergehend allen Admins ihren Status entziehen und abwarten.
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen
blackyy




Anmeldedatum: 29.08.2008
Beiträge: 190
Wohnort: Rheinberg

BeitragVerfasst am: 06.10.2008, 08:33    Titel: Antworten mit Zitat

ok, danke webkicks .
Ich hyabe erstmal entzogen.
danke für deine antwort.
Kann man den TYPEN eigentlich irgentwas anhengern ß??
Nach oben
Benutzer-Profile anzeigen Private Nachricht senden Website dieses Benutzers besuchen AIM-Name Yahoo Messenger MSN Messenger
Beiträge der letzten Zeit anzeigen:   
Neues Thema eröffnen   Neue Antwort erstellen    Forum zum WebKicks.De Chatsystem Foren-Übersicht -> Allgemeines Alle Zeiten sind GMT + 2 Stunden
Gehe zu Seite Zurück  1, 2, 3 ... , 9, 10, 11  Weiter
Seite 10 von 11

 
Gehe zu:  
Du kannst keine Beiträge in dieses Forum schreiben.
Du kannst auf Beiträge in diesem Forum nicht antworten.
Du kannst deine Beiträge in diesem Forum nicht bearbeiten.
Du kannst deine Beiträge in diesem Forum nicht löschen.
Du kannst an Umfragen in diesem Forum nicht mitmachen.


Powered by phpBB © 2001, 2005 phpBB Group
Deutsche Übersetzung von phpBB.de