Seite 1 von 1
!!BUG!! User können sich mit Admin-Rechten einloggen !!!!
Verfasst: 20.09.2004 23:14
von Knalltüte
Hallo!
Ich habe auf meinem Board ein Problem:
Ein User kann Beiträge von einem geheimen Bereich des Forums lesen. Ich habe soweit rausgefunden, dass er einen sogenannten "Admin-Hack" benutzt. Dabei hat er Admin-Rechte, obwohl er gar nicht Admin ist. Von einer anderen Seite hab ich herausgekriegt, dass er das irgendwie mit Cookies macht.
Ich habe ein phpBB Plus 1.3 geupdatet bis zu phpBB 2.0.10.
Wisst ihr vielleicht etwas darüber? Es wäre sehr wichtig, denn das ist ein RIESEN-BUG!
Bye
Verfasst: 21.09.2004 00:38
von Business
Suchmal in der privmsg.php (strg+F) Nach diesem Code:
Code: Alles auswählen
$pm_sql_user .= "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
Und ersetze ihn mit dem:
Code: Alles auswählen
$pm_sql_user = "AND ( ( pm.privmsgs_to_userid = " . $userdata['user_id'] . "
Durch einen bestimmten Ausruf
kommt man an das Admin Passwort
Aber naja, du kannst es dir auch einfacher machen und den Punkt nach: $pm_sql_user löschen
Weiss nicht ob ich dir damit helfen konnte, aber nen Versuch wars wert
Edit: Du sagtest du hast jetzt die 2.0.10 da ist das eigentlich gefixt, aber schau einfach mal nach
Verfasst: 21.09.2004 11:50
von Knalltüte
Ich habe gerade geschaut, aber das habe ich schon gefixt. Der Fehler muss woanders liegen. Habt ihr sonst noch Ideen?
Verfasst: 22.09.2004 02:48
von Business
Schonmal mit admin passwort ändern versucht? Vielleicht ist es ja wer den du kennst und dem du es gesagt oder er hats irgendwie mitbekommen
Verfasst: 22.09.2004 09:59
von Christian_W
Ich würde auch nicht ausschließen, dass der Fehler in einem der zahlreichen Mods von phpBB+ zu finden ist. Daher gehört die Frage eher in deren Forum.
Gruß Christian
Verfasst: 23.09.2004 11:58
von Knalltüte
Das Passwort habe ich eben kürzlich geändert.
Es kannte und kennt keiner, ausser mir. Und knacken kanns wahrscheinlich auch keiner, denn es ist über 12 Zeichen lang mit Gross/Kleinbuchstaben und Zahlen.
Kann der Admin-Account nicht irgendwie über Cookies gehackt werden?
Kann auch sein, dass der Fehler im Plus 1.3 liegt. Ich werd mal im anderen Board nachfragen!
Thx
Verfasst: 23.09.2004 15:14
von MrMind
Also ohne das Passwort als md5()-Hash kann man den Login auch nicht über ein Cookie knacken.
Die Userid kann man zwar ändern, aber wenn die id mit dem Passwort nicht stimmt, dann kommt man automatisch als Gast auf die Seite.
Mfg
MrMind
Verfasst: 23.09.2004 21:50
von Knalltüte
MrMind hat geschrieben:Also ohne das Passwort als md5()-Hash kann man den Login auch nicht über ein Cookie knacken.
Die Userid kann man zwar ändern, aber wenn die id mit dem Passwort nicht stimmt, dann kommt man automatisch als Gast auf die Seite.
Mfg
MrMind
Das könnte vielleicht der entscheidende Hinweis gewesen sein.. Vielleicht hat er irgendwie mein md5 Passwort geklaut über eine SQL-Injection oder über CSS. Daraus könnte man dann theoretisch ein Cookie basteln?