Hallo zusammen, dies ist meine erste tTuT, also bitte nicht zu hart bewerten^^

Ich werde euch gleich beschreiben wie man Webspell HPs hackt

1. Ihr sucht euch eine Hompage, ambesten gebt ihr bei goolge.de inurl:funpic.de webspell ein...
Jetzt sucht ihr euch eine Page nach wahl aus...

2.Ihr seht jetzt vor euch die Page stehen, (http://rmfclan.rm.funpic.de/ die wurde so nebenbei
von mir und sharK aTTax heimgesucht^^)... Oben in der linkleiste sollte jetzt "name.funpic.de"
stehen... jetzt schreibt ihr hinter dem Link "picture.php?file=_mysql.php" dazu...

"name.funpic.de/picture.php?file=_mysql.php" so sollte das ausschauen...

3. wenn ihr das von Punkt 2 habt öffnet jetzt die Seite...
jetzt sollte normalerweise wenn alles richtig ist eine weiße seite zu sehen sein...

4. Klickt jetzt Rechtemaustaste in das weiße feld > Seitenquelltext Anzeigen (bei manchen
seiten steht nix im quelltext also andere seite suchen^^)

Jetzt sollte normal sowas dastehen:

<?php
$host = "localhost";
$user = "hans";
$pwd = "peter";
$db = "multiteam";
define(PREFIX, 'webs_mul');
?>

So nebenbei, habe den username und das pw ersetzt, ist nur als beispiel...

5.Da wir jetzt die Logindaten von phpmyadmin haben werden wir uns jetzt auch gleich einloggen und das geht so

Ihr nehmt den link von der page die ihr hacken wollt und setzte "phpmyadmin" davor

Ergebniss: phpmyadmin.name.funpic.de

6. Jetzt werdet ihr nach Login und Pw gefragt, gebt einfach das ein was im seitenquelltext unter "$user = "hans"; und
$pwd = "peter"; stand...

7. Jetzt sind wir im phpmyadmin bereich, aber wir haben noch keinen admin acc. durch das gewonnen... Klickt bei der
Prozessleiste auf "webs_user". Wenn ihr das habt und ihr seht die Tabelle, klickt oben auf "Anzeigen"
Jetzt seht ihr alle Registrierten User in einer reihe, schaut auf eurer Ziel hp wie der admin heißt...
Wenn ihr den namen habt merken ;)

8. Es gibt eine zeile die heißt "password" und darunter ist ein md5 code, den kopieren wir jetzt, gehen auf
http://web18.server10.nl.kolido.net/md5cracker/crack.php
und fügen bei "MD5 Hash" den code ein und Cracken...

9. Jetzt seht ihr wie ein prozess lauft der den code entschlüsseln versucht, sollte es nicht geklappt haben, geht ihr
wieder auf die Hash seite zurück und gebt bei "Wort" ein beliebiges PW ein zb. 123456 und klickt dann verschlüsseln.

Jetzt bekommt ihr für euer PW einen Hash, den fügen wir jetzt bei phpmyadmin ein....

10. Um das neue PW dem admin von der Ziel Hp unterzujubeln klickt einfach auf der phpmyadmin seite auf "Bearbeiten, das
ist neben dem X das Kugelschreiber ähnliche Symbol". Jetzt tragt ihr euren hash den ihr gemacht habt bei "password"
ein und klickt ok!

11. Den admin namen aus der phpmyadmin rauskompieren, auf die HP gehen, Login, Loginname angeben und euer PW das was
ihr mit dem hash gemacht habt...
Siehe da ihr seit als admin eingeloggt^^

Ihr könnt jetzt in den Admin bereich gehen, news schreiben, was euch halt so am herzen liegt...

Denkt immer daran, wenn ihr sowas macht dann IMMER mit PROXY!!! Sonst sind die bullen schneller bei euch als ihr schauen
könnt^^


Readet by ApoLLo [ICQ: 356156318] < bei fragen
Support by sharK aTTax


Viel Spaß beim testen...

Jo Digga sieht gut aus weiter so!


Gruß playhack

Added after 5 minutes:

Wen ihr glück habt ist das PW was beim Quelltext
raus kommtdas selbe wie im FTP zugang dazu:

Host: name.na.funpic.de

User: name = {name}.na.funpic.de

PW naja Glücks sache HaVe FuN

das haben die gefixxed glaube ich:

seite konnte net gefunden werden^^

welche seite den?

@Iaa_1 ich weiss grade nicht was du meinst erklär
mal dann kann ich dir vllt. helfen

schon geklärt, die eine clan site waren pros und du hatten irgentwas gemacht das das net ging, aber die 2 die ging :)
somit immernochnet fixxed der bug xD

tja da waren schon welche vor dir dran *schäm :roll:

;)

Der bug ist Fixed nur nicht bei jedem!

Hammer!
Big thanks du hast mir mega geholfen.
Jetzt weiß ich endlich warum so viele sagen dass es so einfach sein Funpic zu hacken :roll:
10/10^^

meine bewertung ist auch 10/10 danke dir :)
aber why gehts bei manchen und bei manchen netmehr?

also das tutorial ist gut finde ich
und meinen admin hash habe ich mit webspell gemacht und einfach bei meiner eigenen seite rauskopiert (nur mal so als tipp)

aber davon gibts schon genug tuts und das mit den bugfixes liegt an den admins der siete es gibt bestimmt 10 oder 20 bugfixes für die picture.php sache

@ Iaa_1 es geht ab einer bestimmten version ncihtmehr weil da das bugfix schon drin ist oder halt ein extra bugfix reingemacht wurde (gibts auch mit eingebautem ip-ban)

Es halt nicht bei allen weil sie den bug gefixt haben!

Es halt nicht bei allen weil sie den bug gefixt haben!

kann meinen kollegen nur recht geben, sucht einfach weiter mit google, ihr werdet genug finden und auch viel spaß haben, so wie ich gerade :P

Danke für die geile bewertung, hätte ich mir nicht gedacht, aber mal abwarten was noch so an posts kommt :)

Lg

mal so als info

http://cms.webspell.org/index.php?site=files&cat=10

hier sind die offiziellen bugfixes, noch ne .htaccess in den adminordner und schon ist webspell an sich sicher genug

wers mal testen will obs sicher ist http://barbers.pytalhost.de/webspell/

EDIT: wer schaft plz pm und wie ers gepackt hat

sieht nice aus ich denk ich tests nachher

2 möglichkeiten versucht...

0 Chance :(

Lg

ich habe es bei der Clan seite meines Frühren clans gemacht funkt super danke :)

edit habe schon 30 Seiten ^.^lol das geht echt klasse
wer einpaar haben möchte pn krigt er einpaar.
Da ich diese seiten nihct Hacke nur ihre Daten hole mit dem Trick ist mir das recht egalD

ich habe es bei der Clan seite meines Frühren clans gemacht funkt super danke :)

edit habe schon 30 Seiten ^.^lol das geht echt klasse
wer einpaar haben möchte pn krigt er einpaar.
Da ich diese seiten nihct Hacke nur ihre Daten hole mit dem Trick ist mir das recht egalD

Kurze Info...

Macht nicht zuviel schaden bzw. stellt die HPs nicht gleich in den "keller" (down) weil sonst werden die pages entweder gefixt oder es werden immer weniger weil die user keine page mehr machen, also immer sachte bleiben...

Ok 1-2 seiten plätten ist drin (PRO TAG ABER NUR :D )

In der ruhe liegt die kraft :P

Lg

danke, macht spaß! ;)


hier mal nen paar sites:


1. http://dmwwormers.dm.funpic.de/wbb-Help-by-inf-4-funpic/wbb210/thread.php?threadid=1068
da müsst ihr auf live demo klicken (wollt euch zeigen das ich die mal ärgern will)

2.
http://st3iner.st.funpic.de/

3.
http://fetterorc.funpic.de/



wenn ihr wollt könnt ihr die hacken

das geht immernoch bei vielen noob-clanhomepages vorzugsweise bei funpic/ohost

den bug gabs hier doch schon 50000 mal :roll: ^^
hab sogar ein "tool" dafür geschrieben *lol*^^

-> http://www.project-dragon.de.ms

von mir auch 10/10 punkten.
Bug ist zwar gefixxt aber es hat ja nicht jeder das neuste webspell drauf.

wenn ihr wollt könnt ihr die hacken

Redet doch nich immer von hacken.... Das was man da macht hat nichts mit hacken zu tun... :evil:

hi ich habe es ausprobiert richtig geil aber die haben meine IP und wollen anzeige machen die haben gesagt ich mache anzeige wegen hacken da habe ich gesagt
Des war kein hacken des war eine Lücke

Au wei... einer mehr -.-


Es war kein hacken, es war script kiddie, aber es wahr eindringen in Privatsfähre und ausspähen von persönlichen Daten, von dem Her kreigen sie dich dran und du kommst dür 10 Jahre in den Knast, bis in 10 Jahre,...

In ner woche stehen die vor deiner Tür... :wink:

Erstens: Das Exploit ist uralt, auf der webspell Seite gibts seit geraumer Zeit nen Fix dazu. Zweitens wäre es wesentlich sinnvoller, nen zweiten admin account zu erstellen oder nen Cookie zu faken als das Passwort vom Siteadmin zu ändern. (das _könnte_ auffallen)
Und zweitens: Mehr als Schaden anrichten tust du damit auch blos nicht, schließlich bringt dir nen übernommener Funpic/Ohost Acc nix.

ist kein hacken wie schon hier oftmals aufgekommen ist. habs selber schonmal gemacht, aber nicht zum "zerstören" wie das kiddy's oftmals tun sondern um den Admin zu warnen. wer zerstören möchte der soll auf die strasse gehen und mit nem hammer anfangen die strasse aufzupicken. vll kommt man von dem krampf zur vernunft! :twisted:

der admin war danach ziemlich happy, das ich ihm die page nicht zerstört hab etc war auch im ftp bereich, ... das ganze habe ich mit proxy gemacht.
habe ihn also aufgeklärt und ich denke das ich das richtige gemacht hab, ich kenne ihn nicht und warum soll ich ihm was zerstören wofür er nichts dafür kann er hat lange gebraucht für die page design etc... warum nun die page down machen?!

ich mache nicht ohne grund schaden, auch wenns so "geil" sein mag einem was zu zerstören und sein hass auf dich zu nehmen :evil:

ps: lernt die sache, geht vll mal wo rein, aber zerstört nicht ohne grund sachen und wenn bei euch die polizei vor der haustür steht dann viel spass :D

Ja, lol ich wollt des machn und als das mit dem weißen Bildschirm kam stand da dran (bei einer von 20pages):
Ihr Hackangriff wurde notiert und eine Email an ihren Hoster versendet, was jetzt?

Ihr Hackangriff wurde notiert und eine Email an ihren Hoster versendet, was jetzt?

nix jetzt... les was jetzt ist ^^ entweder ist/war das ein fake oder du hast jetzt ne abuse mail bekommen...

ja, kA also mein inet läuft noch ;D xD

Alles gut erklärt!

Also ich hatte meinen spass xD

der Thread is zwar schon älter aber ich schreib hier trotzdem mal rein ....

Am besten geht das ganze wenn man bei google so ab seite 10 die HP's nimmt...


MFG
Darkness

Das nach meiner Erfahrung von 10 Leute bei einem... Aber schönes Tut!

Hi,

also von 6 versuchen hatte ich jetzt 4 erfolgreiche.. aber leider stimmen die FTP Daten nicht.. aber egal weiterlernen

hihi, jo recht witzig, aber sql injection is doch besser :P :roll:

edit/*

hat aber nix mit hacken zu tun, wurde eh schon 1-2 mal erwähnt........