Hmm ich hab grad keine Ahnung ob das noch funktioniert oder überhaupt annährend so war wie ichs jetzt grad im Kopf hab aber konnte man nicht mal das Passwort eines registrierten Users im Klartext aus ner Datenbank auslesen? Natürlich nur als Serveradmin... also könnte man doch theoretisch den Serveradmin von dem TS den man overtaken will dazu bringen sich auch deinem TS Server zu registrieren ( Grund: Sponsoring etc) Wenn man Glück hat nimmt er dasselbe Passwort das auf seinem eigenen TS benutzt.
Das waren jetzt wilde Gedanken die mir durch den Kopf geschossen sind und die ich irgentwo niederschreiben musste. Kenn mich mit TS nicht sonderlich gut aus. Denke mal da is nen Haken an der Sache...
mfg
Ergebnis 1 bis 7 von 7
-
13.08.2008, 08:39 #1Trojaner
- Registriert seit
- 01.08.2008
- Beiträge
- 72
TS overtaken + a little bit of Social Engineering
"Nachsatz: deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." - 22. September 1999 in de.org.ccc
-
13.08.2008, 11:40 #2Emo Pwny
- Registriert seit
- 03.06.2007
- Beiträge
- 3.256
Re: TS overtaken + a little bit of Social Engineering
An sich wäre die Idee schon möglich, nur denk ich nicht das die PW von SA in der DB ausgelesen werden können. Als SSA vllt, wenn du den TS Server selber hostest oder eben SSA rechte bekommst, aber ich denk im Klartext werden die Passwörter nicht gespeichert. Aber ich wüsste nicht wie man an die PW rankommt, wenn mans überhaupt schafft. Und je nach dem was es fürn Typl ist, ist die wahrscheinlichkeit, dass er das gleiche PW nimmt wie auf seinem TS Server, auch eher gering. ^^
Boardregeln * Blackmarket * SuFu * Kontakt * PGP Key
..das Handy klingelt, sie fragen nach Kollegah
dem morgens schon Giorgi-Armani-Sakkoträger
heben Bares ab und zahlen, nehmen die Ware ab und gehen
es ist der Strassenapotheker
-
13.08.2008, 12:17 #3Trojaner
- Registriert seit
- 01.08.2008
- Beiträge
- 72
Hmm kann mich vage an ein Tutorial erinnern glaub das kommt noch aus den frühen zeiten von ++++++++++ in dem das geklappt hat. Von K!ller oder iwie so hieß der... Aber das war dann auf jeden Fall ne veraltete Serverversion und die werden das nehm ich mal an gefixxt haben jetzt wo ich so drüber nachdenk
"Nachsatz: deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." - 22. September 1999 in de.org.ccc
-
13.08.2008, 12:18 #4Kevin Lee Poulsen
- Registriert seit
- 29.06.2008
- Beiträge
- 1.364
also als SSA( Super Server Admin) kommst du definitiv an die login daten.
Die müssten in der Server.dbs stehen aber nit ganz sicher.
Aber mit normalen SA rechten kommste da sicherlich nit ran^^.
Vielleicht gibts für das webinterface noch paar exploits , jenachdem was für eins das ist.
-
13.08.2008, 12:26 #5Trojaner
- Registriert seit
- 01.08.2008
- Beiträge
- 72
Naja den server könnte man für die zeit ja kurz auf dem eigenen rechner hosten wodurch man natürlich die ssa rechte hätte...
"Nachsatz: deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." - 22. September 1999 in de.org.ccc
-
13.08.2008, 13:10 #6W32.Lovgate
- Registriert seit
- 09.12.2007
- Beiträge
- 352
mit zugriff auf die server.dbs (also ftp) kannste alle passwörter auf dieser auslesen.
Einfach mitm Editor bearbeiten, die passende Zeile raussuchen und dann einloggen
Läuft der TS sever über die MySQL "Schnittstelle" hast du da meines wissens weniger glück, könnte aber auch sein, dass die dort auch als Klartext stehen, KP^^
-
13.08.2008, 17:46 #7Trojaner
- Registriert seit
- 01.08.2008
- Beiträge
- 72
Na gut waren meine Vermutungen gar nicht so falsch wie sie in meinem Kopf geklungen haben
"Nachsatz: deshalb mag ich Binärtechnik. Da gibt es nur drei Zustände: High, Low und Kaputt." - 22. September 1999 in de.org.ccc
Zitieren
