Sers,
ich möchte ein ein foren-city forum hacken. (www.foren-city.de)

Da bei mir AccessesDriver auf meiner Windows Version Probleme macht, weiss ich nicht wie ich das anstellen soll.

Hoffe auf eine hilfreiche Antwort.

was ich nicht verstanden habe ist möchtest du www.foren-city.de hacken oder möchtest du ein gespossertes Forum von foren-city.de hacken ? :D


MFG ich

Ich würde erstmal anfangen etwas zu lernen, nicht nur anmelden fragen, abhauen^^
beschäftige dich mal ein paar tage mit dem thema / gibts genug im forum und dann schafste das..., sieht nicht nach nem "guten" forum aus, also muss man da auch nicht so viel können! geh mal oben auf SuFu und gebb dort TuT ein, dann such ein thema wo das z.B "Froum hacken TuT" steht und das downloadest du, davon sollte es einiges im forum geben, aber wie gesagt lernen muss man schon etwas =)

mfg

@Nur4mon (http://free-hack.com/member.php?u=57062): Wie hacke ich eine Person/Homepage/Account (http://free-hack.com/showthread.php?t=14529)

@Hawk88 (http://free-hack.com/member.php?u=56312): Ich glaub, er will nur nen gesponsertes Forum "hacken".

Ich hab mich schon ein bischen reingelesen ;)

Bin mal mit nem Portscanner drüber und hab einen offenen, unbelgten Prot gefunden.
Wollte über ftp connecten um die PW files zu klauen, aber der RemoteHost hat die Verbindung unterbrochen :(

Naja, habs mit Brute Force und dann mit dem Driver probiert --> klapt nicht.

Ich werde jetzt mal etwas das Forum durchstöbern.

Wenn einem von euch noch was einfällt kann er es ja hier posten ;)

Die Definitionen von "hacken" lassen zu Wünschen übrig. Schnapp Dir 'ne Hacke und hack in meinem Garten die Blätter (oder heißt das haken?) zusammen. Ne Spaß beiseite... Du musst schon in etwa wissen, was Du vorhast. Defacen (Kinderkram), Daten abgreifen, Blödsinn machen...? Oder einfach nur so ein Machtgefühl haben von wegen "Ich habe euch gehackt!", oder was hast Du vor? Sehr hilfreich ist der Thread wie hacke ich eine Person / Homepage / Account (klick) (http://free-hack.com/showthread.php?t=14529) by Lidloses_Auge. Viel Spaß beim lernen ;).

EDIT: Je nachdem, ob Du die Person kennst, die die Homepage betreibt kommen noch Social Engineering etc. hinzu. Das wäre so mein Tipp...

und du solltest dich über Ports informieren, du kannst doch nicht über einen x-beliebigen auf den FTP zugreifen, außerdem fehlen dir wie ich annehme die Rechte.
Lern Grundlagen dann kannst weiter sehen

Achja, wenn du schon foren-city sagst,


http://demo.foren-city.de/demo/index.php?s=117+and+substring(version(),1,1)=5--%20f

Beschäftige dich mal mit SQL Abfragen, dann weist was man damit alles machen kann

Nein, ich hacke nur sozial :P
Werde vll. ein Thema mit nem Admin Acc öffnen wie "Owned by ..."

Wieso die Seite?
Naja, als Test eben. Bin aber wie gesagt nicht weit gekommen, deswegen frag ich euch ja ;)

Was soll ich denn mit dem Code anfangen?

In diesem Thread wird eindeutig zu oft die Wörter Hacker bzw Hacken vergewaltigt ...

in die address zeile deines Browser rein kopieren? du solltest dich erstmal Grundlegend mit dem Grundwissen der Informatik beschäftigen

Der Code von Fred ist eine sehr schöne SQL-Injection für Foren-City, wo ich mir nicht hätte vorstellen können, dass es klappt. Aber scheint wohl (habs jetzt aber nicht probiert). Wenn Du Dich über SQL-Injectionen ein wenig durchliest kannst Du damit Admin-Passwörter etc. abfragen, was hier jedoch schwer wird, da diese Injection blind ist. Das heißt es wird nur auf die Reaktion der Seite auf den Query geschaut ohne eine groß wahrnehmbare Ausgabe zu erhalten. Dort Passwörter zu kriegen kann dauern... Aber wenn Du es wirklich willst dann nimmst Du Dir die Zeit sicher.

Beschäftige dich mal mit SQL Abfragen, dann weist was man damit alles machen kann

// Edit
Zu spät.

Nochmal an Fred:
Wie schiebe ich dem Forum denn den SQL-Befehl unter?

@Nur4mon: So wie er es geschrieben hat - über die URL.

Dann sagt mir Foren-City, dass die Seite nicht vorhanden ist...

So, ich hab dir hier 4 Links rausgesucht.Und bevor du dir nicht alle mind. 2 Mal durchgelesen hast, stellst du hier keine Fragen mehr, ok?

http://free-hack.com/showthread.php?t=14529

http://free-hack.com/showthread.php?t=14132

http://free-hack.com/showthread.php?t=17013

http://free-hack.com/showthread.php?t=28326

mfg der_Dude

Die Tuts sind von 2007. Auf die Seite, die ich hacken will angewendet ---> kein Ergebnis

Ich möchte aber das Passwort einen Users in einem von Foren-City erstellten Forum hacken.

Die Tuts sind von 2007. Auf die Seite, die ich hacken will angewendet ---> kein Ergebnis

Du hast dir die TUT's gar nicht angeschaut, was?
Sonst wüsstest du, dass das sehr wohl funktioniert.

Denkst du dir, wir sind die Idioten vom Dienst und hacken mal eben so ne Website, nur dass du dann das PW von deinem Freund hast?

So läuft das nicht, Bursche...

Lern es selber, oder lass es bleiben.

mfg der_Dude

Wahrscheinlich kannst du das als Admin auch machen (andere User verwalten sollte ein Admin schon können)

Edit: der GET-Parameter ist ebenfalls für XSS anfällig falls es einen interessiert

@Dude:

Erstmal locker bleiben.

Ich hab mir das erste Tut zweimal angeschaut. Ich erhalte aber keine Fehlermeldungen, wie es im Tut beschrieben wird.

kannst es ja mit nem RAT versuchen *lach

Also, hab mir alles nochmal angeschaut und es passiert nichts. Wenn ich den SQL test mache komm keine Fehlermeldung. Also, wer mir helfen will, kann das gerne tun ;)

hast du ganz sicher nicht, da du sonst wissen solltest, dass man mit einer SQL Injection versucht Werte auslesen und keinen Fehler zu produzieren.
Ein Fehler kommt nur dann, wenn der Query false ergibt, bsp. bei Version 4 obwohl es Version 5 ist. Natürlich nur bei Blind was der Fall ist

versucht Werte auslesen und keinen Fehler zu produzieren.
Ein Fehler kommt nur dann, wenn der Query false ergibt


Wobei man sieht, dass der Threadstarter das Tutorial wirklich nicht gelesen hat. Denn dass ein Fehler "schlecht" und nicht das gewünschte Ergebnis ist und sein kann ist eigentlich Logik. Wie man letztendlich den Query "manipuliert" wurde von Lidloses_Auge wunderbar erklärt. Wenn alles korrekt läuft solltest Du im besten Fall eben eine Ausgabe und keinen Fehler... Hör auf unsere Worte und lies lieber, bis es Dir oben wieder rauskommt. Sonst kapiert man es auch nicht ;). Und: Learning by doing!

Zum Verständniss der SQL-Injection lies dir die folgenden 7 Seiten durch bis du sie verstehst(Wenn nötig auch das ganze Tut).
http://tut.php-quake.net/de/mysql.html
http://tut.php-quake.net/de/mysql-tables.html
http://tut.php-quake.net/de/mysql-insert.html
http://tut.php-quake.net/de/mysql-select.html
http://tut.php-quake.net/de/mysql-select-table.html
http://tut.php-quake.net/de/mysql-php.html
Soviel zum SQL im PHP
Und dass du nun versthst was diese komische URL soll hier die GET-Parameter:
http://tut.php-quake.net/de/get.html

Aja Hackanfragen sind hier verboten also erwarte nicht dass dir jemand sagt wie das geht.
Dass die Tuts gegeben werden ist e schon mehr als großzügig.
Und das mit den FTP und die passwort files download:
Das geht nicht.
Du hast per FTP keinen Zugang dazu.
Nur per SSH.
Und außerdem wirst du mit den passwordfile nix anfangen können.
Hier mal ein Eintrag eine Users in so ein Linux passwordfile:


david:x:1000:1000:David,,,:/home/david:/bin/bash

Das is der Eintrag für den root auf meinen PC in der Datei /etc/passwd .
Falls dich intresiert ich erklähre dir was das bdeutet.
Also das /bin/bash ist die verwendete Shell für den user.
david ist natürlich der User .
1000 ist die UserID oder die GruppenID(das weiß ich nicht genau und bin mir unsicher)
Und /home/david ist das Home-Verzeichniss des Users.


Hacken geht nicht wenn du dich nicht auskennst.
Das ist kein Kinderspiel.
Du brauchst mal das Hintergrundwissen sonst geht nix.

@Fred: Das Auge meinte ja, dass man mit dem Fehler sieht, ob die Seite anfälltig ist. Das meine ich.

@Fuckinghot: Danke erstmal, ich werde mir das jetzt alles erstmal durchlesen und danach vll. noch Fragen stellen ;)

er meint .php?id=1313

er setzt ' oder /* oder \ und es erscheint bei ihm kein Fehler also schlussfolgerung seiner seits nicht angreifbar

er meint .php?id=1313

er setzt ' oder /* oder \ und es erscheint bei ihm kein Fehler also schlussfolgerung seiner seits nicht angreifbar

Wo er fürn Anfang nicht unrecht hat.(Dumm beschrieben)
Was ich damit sagen will ,dass man in den meisten Fällen einer mögliche Injectionen ein Querry-Fehler kriegt.
Es gibt natürlich auch welche ohne Fehler(dann ist das Error-Reportig aus).

Es gibt natürlich auch welche ohne Fehler(dann ist das Error-Reportig aus).


Oder die Funktion wurde durch das setzen des "@"-Zeichens bei z.B



@mysql_query("SELECT...");


dazu gezwungen den "Mund zu halten" und keinen Fehler auszuwerfen. Oder der Proband hat das "OR die(MYSQL_ERROR());" nicht benutzt oder oder oder... Es gibt sicher viele Gründe, warum keine Fehlermeldung erscheint. Aber das geht jetzt glaube ich zu weit offtopic... Aber es ist sicher gut, dass es mal erwähnt wird.