Hallo!
Ich habe auf meinem Board ein Problem:
Ein User kann Beiträge von einem geheimen Bereich des Forums lesen. Ich habe soweit rausgefunden, dass er einen sogenannten "Admin-Hack" benutzt. Dabei hat er Admin-Rechte, obwohl er gar nicht Admin ist. Von einer anderen Seite hab ich herausgekriegt, dass er das irgendwie mit Cookies macht.
Ich habe ein phpBB Plus 1.3 geupdatet bis zu phpBB 2.0.10.
Wisst ihr vielleicht etwas darüber? Es wäre sehr wichtig, denn das ist ein RIESEN-BUG!
Bye
!!BUG!! User können sich mit Admin-Rechten einloggen !!!!
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Suchmal in der privmsg.php (strg+F) Nach diesem Code:
Und ersetze ihn mit dem:
Durch einen bestimmten Ausruf 
kommt man an das Admin Passwort
Aber naja, du kannst es dir auch einfacher machen und den Punkt nach: $pm_sql_user löschen
Weiss nicht ob ich dir damit helfen konnte, aber nen Versuch wars wert
Edit: Du sagtest du hast jetzt die 2.0.10 da ist das eigentlich gefixt, aber schau einfach mal nach
Code: Alles auswählen
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "Und ersetze ihn mit dem:
Code: Alles auswählen
$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "Aber naja, du kannst es dir auch einfacher machen und den Punkt nach: $pm_sql_user löschen
Weiss nicht ob ich dir damit helfen konnte, aber nen Versuch wars wert
Edit: Du sagtest du hast jetzt die 2.0.10 da ist das eigentlich gefixt, aber schau einfach mal nach
-
Christian_W
- Ehemaliges Teammitglied
- Beiträge: 5703
- Registriert: 26.02.2004 00:09
Das Passwort habe ich eben kürzlich geändert.
Es kannte und kennt keiner, ausser mir. Und knacken kanns wahrscheinlich auch keiner, denn es ist über 12 Zeichen lang mit Gross/Kleinbuchstaben und Zahlen.
Kann der Admin-Account nicht irgendwie über Cookies gehackt werden?
Kann auch sein, dass der Fehler im Plus 1.3 liegt. Ich werd mal im anderen Board nachfragen!
Thx
Es kannte und kennt keiner, ausser mir. Und knacken kanns wahrscheinlich auch keiner, denn es ist über 12 Zeichen lang mit Gross/Kleinbuchstaben und Zahlen.
Kann der Admin-Account nicht irgendwie über Cookies gehackt werden?
Kann auch sein, dass der Fehler im Plus 1.3 liegt. Ich werd mal im anderen Board nachfragen!
Thx
Das könnte vielleicht der entscheidende Hinweis gewesen sein.. Vielleicht hat er irgendwie mein md5 Passwort geklaut über eine SQL-Injection oder über CSS. Daraus könnte man dann theoretisch ein Cookie basteln?MrMind hat geschrieben:Also ohne das Passwort als md5()-Hash kann man den Login auch nicht über ein Cookie knacken.
Die Userid kann man zwar ändern, aber wenn die id mit dem Passwort nicht stimmt, dann kommt man automatisch als Gast auf die Seite.
Mfg
MrMind
