phpBB.de

ok, danke

Slyver hat geschrieben:Wie will man den ein Forum hacken? Mit tools? Aber wie will er überhaupt spuren tracen? Ich mein wie wollen die da reinkommen überhaupt? Erraten die das passwort oder wie geht den sowas?

??? Was ist jetzt damit? Weis jemand wie sowas vor sich geht?

Per SQL Injection versuchen 'Hacker' Datenbankabfragen in Code einzuschleusen.

Statt eines Nutzernamens geben Sie z.B. ein :

' delete from phpbb_users; --

Du kannst Dir ja sicherlich denken, was das ausrichten würden, wenn
das nicht abgefangen würde ...

Wissler hat geschrieben:

daruler hat geschrieben:
Interessiert mich halt nur wegen der PWs.
Danke.

Ist das erwiesen, dass er die Passwörter hat (im Klartext)?
Kann ich mir nicht vorstellen.
Oder hast Du Dein board so verändert, dass die Passwörter im
Klartext abgespeichert werden?

Ja, er hat die Passwoerter in einer .txt released.
Ich habe nichts veraendert.

Wissler hat geschrieben:Per SQL Injection versuchen 'Hacker' Datenbankabfragen in Code einzuschleusen.

Statt eines Nutzernamens geben Sie z.B. ein :

' delete from phpbb_users; --

Du kannst Dir ja sicherlich denken, was das ausrichten würden, wenn
das nicht abgefangen würde ...

Nein kann ich mir leider nicth denken. Bin noch nicht solange dabei. Was ist eine SQL Injection. SQL ist Structured Query Languange für datenbanken halt aber das injection?

Er hat also die Passwörter der User veröffentlicht? Den Hash oder die Klartext-Passwörter? Ich bezweifle, dass er einfach mal so MD5 knackt.
Hast du die Mitglieder denn mal gefragt, ob es wirklich ihre Passwörter sind?

Mal ganz davon abgesehen hat er sich doch selber auf <2.0.17 beschränkt und nicht davon gesprochen, dass sein Script alle phpBBs angreift/knackt. Vermutlich möchte er es auch nicht veröffentlichen, weil die Sicherheitslücke in späteren Versionen schon geschlossen wurde.

raphael hat geschrieben:Er hat also die Passwörter der User veröffentlicht? Den Hash oder die Klartext-Passwörter? Ich bezweifle, dass er einfach mal so MD5 knackt.
Hast du die Mitglieder denn mal gefragt, ob es wirklich ihre Passwörter sind?

Mal ganz davon abgesehen hat er sich doch selber auf <2.0.17 beschränkt und nicht davon gesprochen, dass sein Script alle phpBBs angreift/knackt. Vermutlich möchte er es auch nicht veröffentlichen, weil die Sicherheitslücke in späteren Versionen schon geschlossen wurde.

Die Klartext Dateien hat er veroeffentlicht.
Unter anderem auch mein eigenes Passwort, was stimmte.
Er meint, die Luecke waere auch in spaeteren Versionen wieder geschlossen.

Von einem anderen Beteiligten (Mod) hat sich die Sache so abgespielt:

soviel ich weiß hat (der Hacker) [meine] hashes über ne pm durch javascript auf seinen webspace kopiert, hat dann mit nem md5(oderso) decoder unser all pw´s entschlüsselt und sie dann in der newsbar (die ich sofort gelöscht hatte, was aber nur zum entzug meiner rechte geführt hat) veröffentlicht.

Der Hacker selbst:

wie ich an die admin rechte komme:
indem ich einen overflow in einer
config datei ausgelöst habe, der es
mir erlaubte code einzuschleusen.

Das mit den Passwoertern ist mir noch immer unklar.