phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Exploit

https://www.phpbb.de/community/viewtopic.php?t=106889

Seite 1 von 1

Exploit

Verfasst: 20.12.2005 16:41
von DasFragezeichen
Hallo,
es geht um Folgendes ...

Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...

Zwar heißt es immer, dass man verschiedene Passwörter verwenden sollte, doch in der Schnelle habt ihr euch mal "irgendwo" registriert und das mit dem Passwort eurer Stamm-Community! Ärgerlich nur das ihr nun restlos aus dem Forum (mit 5000 Beiträgen) gesperrt werdet weil der Admin von "irgendwo" mal ein bisschen "ausprobiert" hat und auf eurem Namen (mit einem CGI - Proxy) gespammt!

Wäre es nicht möglich dies zu verhindern, indem man anstatt dem gewöhnlichen md5();, das in jedem Forum auftaucht, endlich mal einen unterschiedlichen Schlüssel je Forum zu machen ?

Also, per Zufallsgenerator wird eine Zahl zwichen z.B. 2 und 20 generiert (mit rand(); oder so) und dann gespeichert! Nun richtet sich das phpBB vollständig daran wie die generierte Zahl ist! So wie die Zahl ist so oft wird der eigentliche Schlüssel nochmal verschlüsselt ;)

Also, bei sagen wir 5 mal entsteht aus dem Wort : "test" anstatt aus (wie üblicherweise in jedem Forum) :

Code: Alles auswählen

098f6bcd4621d373cade4e832627b4f6
Nun :

Code: Alles auswählen

fb469d7ef430b0baf0cab6c436e70375
Dann :

Code: Alles auswählen

25ab3b38f7afc116f18fa9821e44d561
Dann :

Code: Alles auswählen

2f6c2404198add983753e94fc24e752f
Und dann :

Code: Alles auswählen

739c5b1cd5681e668f689aa66bcc254c
Also, per Afrage und dann :

Code: Alles auswählen

md5(md5(md5(md5(md5($pass))))));
Somit ist es ein völlig anderer Schlüssel, aber das gleicher Passwort :roll:

Sry, falls es das schon gab oder so ...

Verfasst: 20.12.2005 17:53
von larsneo
Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...
passwörter haben schlichtweg in cookies nix verloren - unabhängig von der verwendeten verschlüsselungsmethode :roll:

Verfasst: 20.12.2005 18:37
von fanrpg

Code: Alles auswählen

md5(md5(md5(md5(md5($pass))))));
?

Code: Alles auswählen

sha1(md5($pass));
Geht genauso gut. Und hat genug Zeilenlänge.
Den Schlüssel kannst du dann noch mit base kodieren:

Code: Alles auswählen

base64_decode(sha1(md5($pass)));
Dann soll da noch einer hinterkommen welcher Code jetzt wie genommen wurde.
Das ganze kann man dann noch per Zufall machen lassen das die eine andere Reihenfolge haben:

Code: Alles auswählen

$zufall = rand(1, 3);
if($zufall == 1)
{
$pass = base64_decode(sha1(md5($pass)));
}
else if($zufall == 2)
{
$pass = sha1(base64_decode(md5($pass)));
}
else
{
$pass = md5(sha1(base64_decode($pass)));
}
Man erhält auch jeweils 3 unterschiedliche Schlüssel. Die durch ver. Kodierungen gelaufen sind.

Verfasst: 20.12.2005 18:39
von DasFragezeichen
larsneo hat geschrieben:
Ihr kennt ja sicher den einen Bug mit den Cookies wo man den md5-Schlüssel des Passworts nur kennen muss und so sich einloggen kann ...
passwörter haben schlichtweg in cookies nix verloren - unabhängig von der verwendeten verschlüsselungsmethode :roll:
Sie sind es, aber in den Cookies als md5 ... Klar, kann man sein phpBB individuell anpassen und den Code anders generieren, aber wäre es nicht viel besser dies bei jedem Board zu tun anstatt das es nur erfahrene phpBBler tun ?

Verfasst: 20.12.2005 20:37
von Pyramide
Seit 2.0.18 werden nicht mehr die Passwörter, sondern "autologin keys" im Cookie gespeichert.

Re: Exploit

Verfasst: 21.12.2005 11:59
von Christian_W
DasFragezeichen hat geschrieben:... in der Schnelle habt ihr euch mal "irgendwo" registriert ...
... der Admin von "irgendwo" mal ein bisschen "ausprobiert" hat ...
Du hast Dich "irgendwo" registriert und der Admin von dort hat Dein PW auf einem anderen Board verwendet um dort zu spammen?

Dann ist es völlig unerheblich wo und wie die PWs gespeichert werden. Ein entsprechend motivierter Admin wird einfach die Verschlüsselung ausbauen und die PWs im Klartext speichern.
Du bist überall wo Du Dich anmeldest davon abhängig, dass dort mit Deinen Daten verantwortungsvoll umgegangen wird. Daher solltest Du niemals das selbe PW für zwei verschiedene Zwecke benutzen.

Gruß Christian
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de