HurricanX
06.08.2004, 13:03
JAVAScript - Passwörter
Diese Anleitung ist ein relativ kurzer Zeit entstanden. Entschuldigt, wenn irgendwo kleinere Fehler sind.
Bei Fragen und Anregungen zu dieser Aneitung schreibt bitte an : crain@hacking.de
Wie hacke ich eine, mit JavaScriptPasswort geschützte Seite ? ?
Es gibt zwei Methoden, die ein Webmaster benutzen kann, um seine Webseite von unbeliebten Gästen fernzuhalten. Beide zeichnen sich als äußerst dumm aus, da jemand, der die URL des geschützen Dokuments kennt auch ohne Passwortabfrage darau zugreifen kann.
--------------------------------------------------------------------------------
Methode 1 : Dabei läuft die Passwordabfrage über ein, mittels Javascript, erzeugtes JavaScript Fenster, das in den Source Code der Seite, auf der die geschützten Daten sind, eingebunden ist. Bei dieser Methode sollte es leichtes sein, daß ihr das Passwort herausfindet. Dazu erstellt ihr eine leere Seite und schreibt in die erste Zeile irgendein Wort, was euch grade einfällt. Dieses besetzt Ihr mit einem Link zu der Seite, bei der das AbfrageFenster aufgerufen wird. Nun speichern und angucken (Ihr solltet online sein). Ihr klickt den link mit gehaltener SHIFT Taste an. Nun sollte sih ein Fenster öffnen, in dem Ihr gefragt werdet, ob und wo ihr die Seite im HTML Format speichern wollt. Speichert sie irgendwo und dann guckt euch den Source Code an. dort sollte es Zeilen geben in der steht :
<SCRIPT language="JavaScript">
passwd=window.prompt("Please enter the password.","");
if (passwd=="i hate teachers") {
alert("Password Correct...Leaving");
location.href="geschützt.htm"
} else if (passwd=="cancel") {
location.href="anfang.htm"
} else {
alert("! Falsches Passwort ! Bitte erneut eingeben :");
passwd=window.prompt("Please enter the password.","");
if (passwd=="i hate teachers") {
alert("Password Correct...Leaving");
location.href="geschützt.htm"
} else if (passwd=="cancel") {
location.href="anfang.htm"
} else {
alert("Zweite Passworteingabe auch falsch. Wir werden sie nun als failed login registrieren");
location.href="logged.htm";
}
}
</SCRIPT>
Dabei zeichen die rot gefärbten Stellen das gültige Passwort, das erwartet wird. Die gelben Stellen zeigen die URL des
geschützten HTML Dockuments an.
Anmerkung :
Diese erste JavaScript - Methode ist nicht sehr effektiv, da man alleine durch Betrachtung des SourceCodes das Passwort herausfinden kann.
--------------------------------------------------------------------------------
Methode 2 : Zu dieser Methode greifen Webmaster öfter, da sie nicht so leicht zu knacken ist wie Methode. Sie besteht aus zwei verschiedenen Dokumenten. Das erste, welches bei anklicken des Links aufgerufen wird, enthält eine INPUT Zeile. Dort darf man nun das Passwort eintragen. Beim Drücken der Entertaste ( Return ) wird dann an das Password .htm oder .html angehängt. Das heißt, daß das Password nun nicht mehr enthalten sein muß, sondern es nur ein HTML - Dokument gibt, welches als Namen das Passwort enthält. Wenn das Passwort also "r1o2o3t4" heißt, dann liegt auf dem Server ein HTML - Dokument mit dem Namen : "r1o2o3t4.htm" <---- Diese Url wird also beim eingeben des Passwortes "r1o2o3t4" aufgerufen. Hacken kann man diese Methode nur mit eine BruteForce Attacke. Eine leichtere Methode ist es aber , in der History nachzuschauen. Wenn man also jemanden kennt, der das Passwort kennt, holt man sich einfach die Addresse des Dokuments aus der History. Dazu braucht man logischer Weise ein BatchDatei und eine Diskette und natürlich einen phyischen Zugang zum System. Dazu aber irgendwann mal...
Es sollte auch nicht schwer sein, die HistoryFiles mit Hilfe eines Trojaners von der Platte zu saugen. Dabei würde der Betreffende einen Patch File erhalten, der einen Trojaner installiert. Wenn er dann im Netz ist, schnell die Daten runtergediebt.
--------------------------------------------------------------------------------
this File is created by :
cr[a]in
contact me at :
crain@nitro2000.de
thecrain@bigfoot.com
HackerUnity@bigfoot.com
Diese Anleitung ist ein relativ kurzer Zeit entstanden. Entschuldigt, wenn irgendwo kleinere Fehler sind.
Bei Fragen und Anregungen zu dieser Aneitung schreibt bitte an : crain@hacking.de
Wie hacke ich eine, mit JavaScriptPasswort geschützte Seite ? ?
Es gibt zwei Methoden, die ein Webmaster benutzen kann, um seine Webseite von unbeliebten Gästen fernzuhalten. Beide zeichnen sich als äußerst dumm aus, da jemand, der die URL des geschützen Dokuments kennt auch ohne Passwortabfrage darau zugreifen kann.
--------------------------------------------------------------------------------
Methode 1 : Dabei läuft die Passwordabfrage über ein, mittels Javascript, erzeugtes JavaScript Fenster, das in den Source Code der Seite, auf der die geschützten Daten sind, eingebunden ist. Bei dieser Methode sollte es leichtes sein, daß ihr das Passwort herausfindet. Dazu erstellt ihr eine leere Seite und schreibt in die erste Zeile irgendein Wort, was euch grade einfällt. Dieses besetzt Ihr mit einem Link zu der Seite, bei der das AbfrageFenster aufgerufen wird. Nun speichern und angucken (Ihr solltet online sein). Ihr klickt den link mit gehaltener SHIFT Taste an. Nun sollte sih ein Fenster öffnen, in dem Ihr gefragt werdet, ob und wo ihr die Seite im HTML Format speichern wollt. Speichert sie irgendwo und dann guckt euch den Source Code an. dort sollte es Zeilen geben in der steht :
<SCRIPT language="JavaScript">
passwd=window.prompt("Please enter the password.","");
if (passwd=="i hate teachers") {
alert("Password Correct...Leaving");
location.href="geschützt.htm"
} else if (passwd=="cancel") {
location.href="anfang.htm"
} else {
alert("! Falsches Passwort ! Bitte erneut eingeben :");
passwd=window.prompt("Please enter the password.","");
if (passwd=="i hate teachers") {
alert("Password Correct...Leaving");
location.href="geschützt.htm"
} else if (passwd=="cancel") {
location.href="anfang.htm"
} else {
alert("Zweite Passworteingabe auch falsch. Wir werden sie nun als failed login registrieren");
location.href="logged.htm";
}
}
</SCRIPT>
Dabei zeichen die rot gefärbten Stellen das gültige Passwort, das erwartet wird. Die gelben Stellen zeigen die URL des
geschützten HTML Dockuments an.
Anmerkung :
Diese erste JavaScript - Methode ist nicht sehr effektiv, da man alleine durch Betrachtung des SourceCodes das Passwort herausfinden kann.
--------------------------------------------------------------------------------
Methode 2 : Zu dieser Methode greifen Webmaster öfter, da sie nicht so leicht zu knacken ist wie Methode. Sie besteht aus zwei verschiedenen Dokumenten. Das erste, welches bei anklicken des Links aufgerufen wird, enthält eine INPUT Zeile. Dort darf man nun das Passwort eintragen. Beim Drücken der Entertaste ( Return ) wird dann an das Password .htm oder .html angehängt. Das heißt, daß das Password nun nicht mehr enthalten sein muß, sondern es nur ein HTML - Dokument gibt, welches als Namen das Passwort enthält. Wenn das Passwort also "r1o2o3t4" heißt, dann liegt auf dem Server ein HTML - Dokument mit dem Namen : "r1o2o3t4.htm" <---- Diese Url wird also beim eingeben des Passwortes "r1o2o3t4" aufgerufen. Hacken kann man diese Methode nur mit eine BruteForce Attacke. Eine leichtere Methode ist es aber , in der History nachzuschauen. Wenn man also jemanden kennt, der das Passwort kennt, holt man sich einfach die Addresse des Dokuments aus der History. Dazu braucht man logischer Weise ein BatchDatei und eine Diskette und natürlich einen phyischen Zugang zum System. Dazu aber irgendwann mal...
Es sollte auch nicht schwer sein, die HistoryFiles mit Hilfe eines Trojaners von der Platte zu saugen. Dabei würde der Betreffende einen Patch File erhalten, der einen Trojaner installiert. Wenn er dann im Netz ist, schnell die Daten runtergediebt.
--------------------------------------------------------------------------------
this File is created by :
cr[a]in
contact me at :
crain@nitro2000.de
thecrain@bigfoot.com
HackerUnity@bigfoot.com