HACKEN UND GEHACKT WERDEN! ACC-STEAL

Hier könnt ihr Fragen stellen, euch beschweren, oder um Hilfe bitten. Beschwerden über Moderatoren sollten im Beschwerdeforum eingereicht werden.
XSS-Lover
kleines Schaf
Beiträge: 6
Registriert: 30. Jan 2005, 03:34
Kontaktdaten:

HACKEN UND GEHACKT WERDEN! ACC-STEAL

Beitrag von XSS-Lover » 30. Jan 2005, 04:11

Nur HEUTE! Nur HIER! EXKLUSIV!

Zeige ich euch wie man kinderleicht einen ACC stehlen kann.
Alles was man dafür braucht sind:
- eine eMail-Adresse
- ein Freewar-Account
- angeslossene, installierte und richtig funktionierende Geräte "Gehirn" und "Hände" 8)
- einen Noob, der kein ACC mehr braucht ;) :twisted:
Also. Ihr loggt euch wie gewöhnlich ein, geht in euren Profil
und drückt auf "Beschreibung - ändern".
Dann fügt ihr folgende Zeile ein:

[img]http://<SERVER-IP>/freewar/internal/profil.php?action=change_email2&email=<EURE%20EMAIL-ADRESSE>[/img]

wo <SERVER-IP> für den jeweiligen server steht (1 bis 4)
und <EMAIL-ADRESSE> auf die ihr später Tausende von gestohlenen Passwörtern
bekommen wollt.

Dann clickt ihr auf "Ändern" und Hop-La! Fertig! Easy, ne?
ok. Jetzt braucht ihr ne Opfer. Bittet jemanden euren Profil
anzusehen und seine eMail-Adresse wird AUTOMATISCH
geändert. Dann geht ihr auf die Freewar-Startseite, im
Login-Fenster clickt auf "Password vergessen?" und gibt den
Namen der Opfer ein! Ihr bekommt dann in wenigen sekunden einen
Link zugeschickt, wo man den Passwort der Opfer manuell ändern
kann. UND DAS OHNE DEN ALTEN ZU KENNEN!!!
Fertig! Jetzt habt ihr die volle Kontrolle über den Account.
(natürlich erst nachdem der wahre User sich ausgellogt hat,
denn sonst kann er die Adresse immernoch ändern)

Dieses Material wurde veröffentlich nur um es allen deutlich
zu machen wie teuer man manchmal für die Faulheit und
Unprofessionalität der MODs und ADMINs bezahlen muss. Denn sie
sind diejenige, die die Seite gründlich prüfen und ständig
warten sollen.

Es ist verboten diese Information für illigale Zwecke zu benutzen.
Während de kompletten Untersuchung und auch während der Testzeit
wurden von mir persönlich KEINE Accounts geklaut. Ich hatte
weder die Absicht Schaden egal welcher Art anzurichten, noch
einem bestimmten Benutzer sein Acc zu stehlen.

Ich danke allen für eure Aufmerksamkeit.

Gefunden und Beschrieben vom D@nte$
mailto:remote_commander@mail.ru
ICQ: 117472006
"I would like to change the world, but i have no source code for it!"

Benutzeravatar
Sotrax
Administrator
Beiträge: 35027
Registriert: 8. Nov 2003, 04:26

Beitrag von Sotrax » 30. Jan 2005, 04:22

Wurde bereits gefixed. Alle Leute die derartiges dennoch versuchen müssen mit einem Ban rechnen.
---
Sotrax

XSS-Lover
kleines Schaf
Beiträge: 6
Registriert: 30. Jan 2005, 03:34
Kontaktdaten:

Beitrag von XSS-Lover » 30. Jan 2005, 04:27

Richtig, Sotrax, weiter so!
morgen werd ich die nächte schwache Stelle veröffentlichen :twisted: :) :lol:
"I would like to change the world, but i have no source code for it!"

Benutzeravatar
Metzle
Klauenbartrein
Beiträge: 1531
Registriert: 17. Apr 2004, 22:44
Wohnort: users_table
Kontaktdaten:

Beitrag von Metzle » 30. Jan 2005, 04:44

Geht das dann auch, wenn schon im Forum, dann nur in einem?
Metzle
Es ist nur der Zeitgeist, der Bescheid weiß...

Bild

XSS-Lover
kleines Schaf
Beiträge: 6
Registriert: 30. Jan 2005, 03:34
Kontaktdaten:

Beitrag von XSS-Lover » 30. Jan 2005, 04:50

ich konnte mich nicht entscheiden
ausserdem als ich das gepostet habe war dir lücke noch offen und ich wollte, dass mods das sehen... und zwar die sollten es schnellen tun als die anderen es ausprobiert hätten ;)

übrigens, Sotrax... ich weiß nicht, was du wo geändert hast, aber ich kann mit diesem Bug immernoch eMails der anderen ändern! Gucks dir bitte etwas genauer an.
"I would like to change the world, but i have no source code for it!"

Benutzeravatar
Sotrax
Administrator
Beiträge: 35027
Registriert: 8. Nov 2003, 04:26

Beitrag von Sotrax » 30. Jan 2005, 05:55

In welcher Welt soll der Bug noch bestehen? Hier scheint er nicht mehr aufzutreten.
---
Sotrax

Benutzeravatar
Metzle
Klauenbartrein
Beiträge: 1531
Registriert: 17. Apr 2004, 22:44
Wohnort: users_table
Kontaktdaten:

Beitrag von Metzle » 30. Jan 2005, 17:30

Oder noch ne andere Idee....wenn du schon so Bugs entdeckst, schreib sie doch direkt an den Support, ohne sie im Forum zu veröffentlichen, weil sonst viele dies auch ausprobieren, was sicher nicht schön ist ;)
Metzle
Es ist nur der Zeitgeist, der Bescheid weiß...

Bild

Benutzeravatar
Kai aus der Kiste
Kopolaspinne
Beiträge: 774
Registriert: 3. Jul 2004, 11:32

Beitrag von Kai aus der Kiste » 30. Jan 2005, 17:32

jo genau schreib sie doch direkt an sotrax dann isses besser

Benutzeravatar
Poultrygeist
Kopolaspinne
Beiträge: 1153
Registriert: 22. Aug 2004, 13:40
Wohnort: so ein kleins Kaff in der Nähe von Mainz
Kontaktdaten:

Beitrag von Poultrygeist » 30. Jan 2005, 19:22

dieser post steht jetzt in 3 foren...muss das sein??
ob sonnenklar, ob sterne funkeln-
im tunnel ist es immer dunkel!

Benutzeravatar
Kai aus der Kiste
Kopolaspinne
Beiträge: 774
Registriert: 3. Jul 2004, 11:32

Beitrag von Kai aus der Kiste » 30. Jan 2005, 19:24

ehrlich mal 3 foren is bissl sinnlos wenn dann in 4foren damits ne gerade zahl is

Benutzeravatar
Metzle
Klauenbartrein
Beiträge: 1531
Registriert: 17. Apr 2004, 22:44
Wohnort: users_table
Kontaktdaten:

Beitrag von Metzle » 30. Jan 2005, 19:34

Die einzig richtige Antwort ist und bleibt, 42 :P
Metzle
Es ist nur der Zeitgeist, der Bescheid weiß...

Bild

Benutzeravatar
huwar
Gelbbart-Yeti
Beiträge: 1971
Registriert: 10. Nov 2004, 20:42
Wohnort: im Norden

Beitrag von huwar » 31. Jan 2005, 12:16

Trotzdem finde ich es gut, das so eine Schwachstelle mal gepostet wird. (eine reicht aber auch...)
Damit geben vielleicht mal die Schreihälse Ruhe, die zu jeder 'Account gehackt' Meldung ihr "Selbst Schuld" posten.

Benutzeravatar
Kai aus der Kiste
Kopolaspinne
Beiträge: 774
Registriert: 3. Jul 2004, 11:32

Beitrag von Kai aus der Kiste » 31. Jan 2005, 15:57

ne 59 is die universalantwort bzw aminosäuren stimmt au immer

Benutzeravatar
Metzle
Klauenbartrein
Beiträge: 1531
Registriert: 17. Apr 2004, 22:44
Wohnort: users_table
Kontaktdaten:

Beitrag von Metzle » 31. Jan 2005, 17:17

huwar hat geschrieben:Trotzdem finde ich es gut, das so eine Schwachstelle mal gepostet wird. (eine reicht aber auch...)
Damit geben vielleicht mal die Schreihälse Ruhe, die zu jeder 'Account gehackt' Meldung ihr "Selbst Schuld" posten.
Naja, in wievielen der Fälle ist man denn auch selbst schuld? Das Posten bringt in der Hinsicht nichts, dass die Leute es sofort austesten, ob es wirklich klappt. Gibt es bestimmt genug, die es probiert haben. Wenn man das diskret an Sotrax schreibt, dann tut es das doch.
Metzle
Es ist nur der Zeitgeist, der Bescheid weiß...

Bild

nik68
kleines Schaf
Beiträge: 4
Registriert: 27. Apr 2004, 09:30

doch nicht gefixed ??

Beitrag von nik68 » 2. Feb 2005, 15:52

hi,

anscheinend wurde es doch nciht gefixed - denn es gab' wieder gehackte accounts ...

gruß nik68

Gesperrt

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 3 Gäste