Archiv verlassen und diese Seite im Standarddesign anzeigen : Lehrer login hacken
Hallo meine lehrer haben so ein login seite wo die auf die kurse
zugreifen koennen
habt ihr ne idee ob man den login und pw herausfinden kann oder anders ?
http://www.lena-lefi.ch/lefilu/login.asp?asplReq=%2Flefilu%2Fstellen%2Easp%3F
Murderinc
06.11.2007, 15:57
hau nen keylogger bei dein lehrer drauf^^
ist genau richtig benutze den keylogger , nur lass dich nicht erwischen...
es könnte sein das du sonst von der schule fliegst und dann noch eine anzeig bekommst je nach laune.
Also aufpassen
2called-chaos
20.11.2007, 15:46
Habs mal nah PHP verschoben. Ist zwar keins sondern ASP aber da passts am besten hin...
Notfalls mit Brutus bruten, wenn du den Loginnamen weißt, kann Jahre dauern ;)
Ansonsten wäre das simpelste ihm nen Server unterzuschieben ;)
p4r4n0id
20.11.2007, 21:00
ich würde es eher nicht probieren, dass wäre mir echt zu riskant, obwohl wir halt nich die pc-profis in unseren lehrer-reihen haben, ist dass zu gefährlich, wenn das doch iwie mitgeloggt wird und dann iwann mal kontrolliert wird, dass ist mir meine schulkariere doch wichtiger als nen bisschen mit den admin rechten zu prollen :roll:
Hey mein Server ist auch auf dem Schulserver, er ist Fud also wayne...
p4r4n0id
20.11.2007, 22:35
jo aber ob er ewig FUD sein wird? was ist, wenn jemand deinen server iwo zum check hinlädt oder der iwie anders analysiert wird? dann wird die datenbank von dem avp eurer schule (bei uns antivir) aufgefrischt und der server gefunden was machse dann? die wissen ja nich was der kriminelle alles mit dem server gemacht hat bzw geklaut hat
Und woher wollen die Wissen, dass ich das war ?
Apologist
21.11.2007, 01:20
Proxy?
Wenn du no-ip benutzt, dann wird da wohl keiner bei den Admins "anrufen" ^^ und sagen:" Öhm .... da war einer auf unserem Schulserver ... könnten Sie uns die richtige IP vom User der Domain ... geben?"
Da niemand wirklich zu Schaden gekommen ist, wird no-ip den nen Vogel zeigen xD
und btw. das mit dem Server im Schulnetzwerk ist ja nicht wirklich schwer ....
Wie man es am einfachsten macht, verrat ich dir nicht ... musste selbst drauf kommen -.-'
p4r4n0id
21.11.2007, 13:46
wie sieht das mit den benutzeraccs aus? habt ihr nicht für jeden schüler nen eigenen login namen? bei uns schon...da könnte man das schön nachvollziehen wer wo wie was installiert hat...
und unterschätz die schulen nich...wenns darum geht, dass möglicherweise sensibles material "gestohlen" sien könnte dann machen die auch bisschen mehr wirbel denke ich mal!
Auf der Seite sind sehr einfach ausnutzbare SQL-Injections. Les dir am besten ein paar SQL-Injection Tutorials durch, mach Tor an, und los geht die Party!
PS: Wieso konnte nie irgendeine meiner damaligen Schulseiten so vulnerable sein? :cry:
Auch 2 XSS Lücken lassen sich finden =/
//
Warum benutzt meine Schul-Hompage nur HTML + htaccess -.-
Proxy?
Wenn du no-ip benutzt, dann wird da wohl keiner bei den Admins "anrufen" ^^ und sagen:" Öhm .... da war einer auf unserem Schulserver ... könnten Sie uns die richtige IP vom User der Domain ... geben?"
Da niemand wirklich zu Schaden gekommen ist, wird no-ip den nen Vogel zeigen xD
und btw. das mit dem Server im Schulnetzwerk ist ja nicht wirklich schwer ....
Wie man es am einfachsten macht, verrat ich dir nicht ... musste selbst drauf kommen -.-'
Warum sollen die bei NoIp anrufen sollen? NOIP ist einfach eine 1:1 weiterleitung an deine IP, also mit Netstat -a und dann die DNS anpingen ist es kein Problem deine richtige IP zu sehen.
NoIp hat nichts mit anonymität zum tun.
donkrawalo
07.12.2007, 11:35
Am besten mit Cain während dem Unterricht mitsniffen und wenn du Glück hast loggt er sich ein oder er loggt sich in seine E-Mail ein.
http://www.lena-lefi.ch/asplpswdchng.asp?mldg=<script>alert("XSS+by+YannicK");</script>&username="><script>alert("XSS+by+YannicK");</script>
XSS found by me :p
Achja wo soll man da ne sql-injection finden o_O
Sry wenn der Thread schon zu alt ist.
Hab auf dem Server noch ein Backupfile gefunden könnte interessant sein ;)
http://www.lena-lefi.ch/lefilu/index.bak
<%
Set Conn = Server.CreateObject("ADODB.Connection")
ConnectionString = "dsn=WEBServerLENALUP;uid=Lenaluuser;pwd=lenaluuser"
Conn.Open(ConnectionString)
SQL = "SELECT Distinct Berufsbezeichnung=rtrim(lenalup.dbo.Berufe.Berufsb ezeichnung), Beruf_Weiblich, "
SQL = SQL + "Berufsunterbezeichnung=rtrim(lenalup.dbo.Berufe.Be rufsunterbezeichnung), Akt_Datum, "
SQL = SQL + "Anlehre = CASE WHEN Prüf_Nr <> 900 THEN 0 ELSE Prüf_Nr END "
SQL = SQL + "FROM lenalup.dbo.Lehrstellen INNER JOIN lenalup.dbo.Berufe "
SQL = SQL + "ON lenalup.dbo.Lehrstellen.Berufs_Nr = lenalup.dbo.Berufe.Berufs_Nr "
SQL = SQL + "Order By lenalup.dbo.Berufe.Berufsbezeichnung"
Set RSBerufe = Conn.Execute(SQL)
SQL = "SELECT Berufsgruppen_Nr, Berufsgruppenbezeichnung FROM Berufsgruppen Order By Berufsgruppenbezeichnung"
Set RSBerufsgruppen = Conn.Execute(SQL)
SQL = "Select Distinct ST_Ort=rtrim(St_Ort) FROM lehrstellen ORDER BY st_ort"
Set RSOrt = Conn.Execute(SQL)
%>
Das sind die spannenden Stellen.
heatshock
02.02.2008, 19:28
Geiler Login oder?
http://www.lena-lefi.ch/lefilu/login.asp?asplReq=%22%20%3Ciframe%20src=%22http://youporn.com%22%20width=%22800%22%20height=%22800%2 2%3E
Ghost2111
02.02.2008, 19:44
Geiler Login oder?
http://www.lena-lefi.ch/lefilu/login.asp?asplReq=%22%20%3Ciframe%20src=%22http://youporn.com%22%20width=%22800%22%20height=%22800%2 2%3E
Aha wie biste denn dadrauf gekommen? :lol:
Powered by vBulletin® Copyright ©2024 Adduco Digital e.K. und vBulletin Solutions, Inc. Alle Rechte vorbehalten.