Ok ich mach mir mal dir Mühe und erklähr das mit dem "TS2 Webinterface Exploit" mal.
Was Dexx gepostet hat ist auch möglich, es gibt aber nachträglich keine Möglichkeit dir auf diesem Server Adminrechte zu verschaffen.
Viel interessanter finde ich (S)SA.
Also was brauchen wir:
Einen eigenen TS2 Server ( http://www.goteamspeak.com ) [nur zum erkunden des SSA webinterfaces], SA Rechte + Webinterfacezugriff auf unserem "target", minimale HTML Kenntnisse (für CSRF-Angriffe und zur Webinterfaceanalyse).
Nun gut, der Server ist installiert. Beim ersten start wird automatisch ein SSA und ein virtual server (port 8767) mit SA erstellt. Passwörter für beide Accounts werden angezeit.
Wir loggen uns nun als SSA im Webinterface ( http://localhost:14534 ) ein.
Unser Ziel wird es sein einen zweiten SSA anzulegen, wenn der "rechtmäßige" SSA auf "Server-Overview" klickt.
Dazu gehen wir zu SSA hinzufügen ( http://localhost:14534/database_scli...nager_add.html ).
Wir öffnen den Quelltext der Seite und suchen nach "<form".
Hier mal ein Auszug:
Code:
<form action="add_sclient.tscmd" method="post">
[...]
LogInName:
[...]
<input name="clientloginname" type="text" size="50" maxlength="29" value="">
[...]
PassWord:
[...]
<input name="clientpw1" type="password" size="50" maxlength="29" value="">
[...]
PassWord:
[...]
<input name="clientpw2" type="password" size="50" maxlength="29" value="">
[...]
<input type="submit" value="add">
[...]
</form>
Gesendet wird das ganze an "add_sclient.tscmd".
Wie dem auch sei, es ist TeamSpeak 2 egal, ob die Daten über GET oder POST gesendet werden... Wir werden uns die GET-Methode zu nutze machen.
also generieren wir folgenden URL:
Code:
http://localhost:14534/add_sclient.tscmd?clientloginname=NewSSA&clientpw1=PaSsW0rT6576&clientpw2=PaSsW0rT6576
clientpw1 und clientpw2 müssen logischerweise übereinstimmen.
Diesen URL könnt ihr, sofern ihr als SSA eingeloggt seid auch ausprobieren und ihr werdet sehen, dass ein weiterer SSA angelegt wird (Name = NewSSA, Passwort = PaSsW0rT6576).
Jetzt verlassen wir den prakitschen Bereich und gehen in die Theorie über (da diese Sicherheitslücke in den neueren TS2 Servern behoben wurde)...
Warum funktioniert unser URL? Weil wir als SSA eingeloggt sind und die Session in den Cookies bei jeder Anfrage an den Server mitgesendet wird.
Bei JEDER Anfrage.
Wir generieren folgenden HTML-Code:
Code:
Verkürzt, für sämtliche Server gültig:
Code:
[img]add_sclient.tscmd?clientloginname=NewSSA&clientpw1=PaSsW0rT6576&clientpw2=PaSsW0rT6576[/img]
Soweit so gut (wie gesagt, das folgende Funktioniert nur auf älteren Servern).
Falls Jemand immernoch einen veralteten Server besitzt, kann dashier auch nachgemacht werden.
Es ist und bleibt ein Fakt, dass die alten TeamSpeakServer keinerlei codierung benutzen und auch keine HTML-Tags entfernen oder anderweitig unschädlich machen.
Das funktioniert darum auch überall, auch beim Servernamen und sogar Benutzernamen!
Wir werden die "Welcomemessage" benutzen, da diese mit 255 Buchstaben maximal am meißten Text erlaubt.
Also setzen wir den oben gezeigten HTML-Code ein (man kann natürlich auch noch über style display:none; das Bild "unsichtbar" machen um den SSA weniger in Misstrauen zu versetzen aber das ist Geschmackssache)...
Auf ServerOverview sieht man dann nur das "zerbrochene-Grafik-Symbol" und nichts weiter.
Wenn wir als SSA eingeloggt waren ist unser zweiter SSA Account nun erstellt.
Falls wir nur SA sind müssten wir nurnoch den SSA dazu bringen unsere präperierte Seite anzusehen und wir haben einen eehhhhh Sicherheitsaccount
*hust* Social Engineering *hust*
Auch zu beachten ist, dass jegliche Art von XSS Attacken durchgeführt werden können.
Um SAs zu Servern hinzuzufügen muss der Server erst selectiert werden ( schaut euch http://localhost:14534/server_manager_servers.html an ).
mfG. BlackBerry