Teorie , hacknuti samp , php-fusion

[DJ_Espire 0]

Posledni dobou se častěji setkávám s stránkami v php-fusion které někde hacknul, v samp ukradli mód, hackli server... Nedá mi to a chci se zeptat jak to vůbec ti hackeři dělaji , co používají za programy, jak někomu ukradnou mód, hacknou server. Jak je to vůbec možne? Podělte se se svými zkušenostmi...

[gledy 1]

PHP-Fusion pokud vim, tak se dala hacknout pouze verze 6 a to pomoci "oblbnuti" registrace pres SZ

 

Ukradnout mod ti muzou pokud jsi u amaterskeho hostingu, ktery vetsinou nema zabezpecene WebFTP

 

Hacknout mod, se dala tusim sedma verze RZE, kde byla nejaka vychytavka s RCON heslem

 

Jinak hacknout se da cokoliv, ale chce to cas a motivaci

[DJ_Espire 0]

Webftp říkáš.. Ale jak , detaily.. Ne navod, pouze vysvětlení..

[gledy 1]

Jinak jsem jeste zapomel, co se tyce tech programu, tak si je t hackeri vytvareji samy. Znamy je pojmenovaval podle svych bejvalek

 

-- stř 02. bře 2011 23:12:33 --

 

Webftp říkáš.. Ale jak , detaily.. Ne navod, pouze vysvětlení..

 

No pokud to WebFTP nebylo zabezpecene, pomoci url jsi se dostal do rootu a z tama jsi si vytahoval co jsi chtel, vetsinou to bylo MySQL heslo

[Shadows 0]

Na väčšina ako už spomínal gledy amatérskych hostingoch ti môžu ukradnúť mód (hneď tým spoznáš amatérsky hosting, že už majú vps od pipni, a hlavne pipni free a majiteľ hostingu presviedča aby si mal u neho server) alebo ak s módom pracuješ v škole, online kaviarni a iných verejných miestach kde môžeš zabudnúť mód, a ak ho zabudneš a náhodou pôjde po tebe niaky "l*ma" pawner, tak ti hneď zkopíruje mód. RZE má prikaz tiež na zistenie rconu vo verzii 8a php fusion sa dá hacknúť pomocou jedného neošetreného vstupu do administrácie v infúzii na status herných serverov, tkroý má veľa ľudí, a tí ktorý o tomto nevedia, často vďaka tomu im hacknú web... Alebo majú rcon heslo/admin/ftp od serveru heslo niake príliš ľahké (napr. 123456789 , alebo dátum ich narodenia, alebo niake iné veci) ale proste majú 1 heslo na všetko, a to 1 heslo zadajú na niakej stránke kde nehashujú heslá a pozrú si ho, a majú už prístup prakticky ku všetkému kde máš to isté heslo, príčin je ešte viac, ale je to väčšinou ľudský faktor alebo chyba v kóde hostingu ktorý zlyhá a vďaka ktorému sa mu tam niekdo dostane.

[DooM 93]

Na väčšina ako už spomínal gledy amatérskych hostingoch ti môžu ukradnúť mód (hneď tým spoznáš amatérsky hosting, že už majú vps od pipni, a hlavne pipni free a majiteľ hostingu presviedča aby si mal u neho server) alebo ak s módom pracuješ v škole, online kaviarni a iných verejných miestach kde môžeš zabudnúť mód, a ak ho zabudneš a náhodou pôjde po tebe niaky "l*ma" pawner, tak ti hneď zkopíruje mód. RZE má prikaz tiež na zistenie rconu vo verzii 8a php fusion sa dá hacknúť pomocou jedného neošetreného vstupu do administrácie v infúzii na status herných serverov, tkroý má veľa ľudí, a tí ktorý o tomto nevedia, často vďaka tomu im hacknú web... Alebo majú rcon heslo/admin/ftp od serveru heslo niake príliš ľahké (napr. 123456789 , alebo dátum ich narodenia, alebo niake iné veci) ale proste majú 1 heslo na všetko, a to 1 heslo zadajú na niakej stránke kde nehashujú heslá a pozrú si ho, a majú už prístup prakticky ku všetkému kde máš to isté heslo, príčin je ešte viac, ale je to väčšinou ľudský faktor alebo chyba v kóde hostingu ktorý zlyhá a vďaka ktorému sa mu tam niekdo dostane.

 

Jako tys me a Grubbovi ukradl mod ze?

 

Nerikejte mu nic on to chce jen z vas vytahat aby pak se nejakym zpusobem naucil hackovat a kradl mody.

[DJ_Espire 0]

Ne, jen mě to zajímá. A hacker není špatnej , jen poukazuje na chyby v systému

[Mikeses 0]

cross site scripting nejčastější "hack" přes webovou stránku. patří tam (nezabezpečené formuláře - niesom si istý jestli aji formuláře) proměnné, přes které možeš na danou stránku nahrát nějaký script.

 

Hacknout se nedá cokoliv. Samozřejme hacker není osobna která si typne heslo na FTP, ovšem společnost ho tak nazýva a i ho tak bere... Je potreba rozlisovat pojmy hacker, cracker,... ad. o tom mas plno clanku na netu.

 

Nezabezpecene formulare - mozes si tak vypsat celou databazi, pak uz neni tezke zjistit nejake citlive udaje treba hesla k admin uctum.

nebo treba ked mas nejaky nezabezpeceny upload souborov, nahrajes si na server treba .php soubor, ktery v sobe obsahuje nejake prikazy na upravu index.php a uz to frci.

Taky jsem se setkal s chatem, kde ani proti HTML ochrana nebola, v takovem pripade staci rozne scripty (pak si jen napises nejaky .js soubor, ktery zaznamenava cookies treba do databaze a implemtujes ho do takoveho chatu.)

 

A dalsich milionů veci sa da spravit, ked clovek vi jak co funguje. Dolezite je na to prijit ...

 

Edit#1: Promiň, že je to tak kostrbaté, ale měl som otvorené nějaké jiné stránky, abych jakésy dolezite pojmy nespletl, vsak uz je pozde, idem spat

[Shadows 0]

DooM nie neukradol, len vyhrážal, to čo je na vps tam aj ostalo, keď ste to zmazali, tak zmazali, keď nie tak nie. Mňa vaše módy nezaujímajú. Nakoniec, ty si mi sám poslal tvoje pwn od tvojho módu. Ale stop OffTopic, nechcem var.

K topicu: PHP script býva najviac náchylný pri prihlasovaní do databázy na XSS (Cross-Site-Scripting), a ešte aj tzv. PHP Includy (súbory cez include(); ) kde bývajú často (hlavne u začiatočníkov) nezabezpečené, formuláre a iné veci okolo fromulárov, to je snáď jasné, potom sú to nezabezpečené GET a POST v php (napr. máš výber z db kde máš ID článku ktorý sa vyberá z db, ale nieje to zabezpečené aby to bolo len číslo) alebo napr. vkladanie komentárov do stránky kde je formulár treba vždy pokaždé "prebehnúť" ošetrením ( htmlspecialchars(); ) a iné veci... Alebo niekto dá údaje od db (a potom to includuje do spojenia s mysql databázy) verejnej prístupnej zložky kde napr. dá koncovku .inc ,ale toto je zraniteľnosť, keď na ten súbor niekto "narazí" a otvorí ho, tak bez problémov aj začiatočník vidí údaje od DB a potom už si môže nastaviť Administrátorký účet na stránke, zmazať db a iné veci, ktoré môžu spôsobiť neočakávané chyby na stránke... S XSS sa najviac stretneš v chybách v stránkach programovaných v php.

Ale určite ti sem nikto nebude dávať presný návod ako na hacknutie toho a toho, ak chceš, tak si to nájdi v google.com , ale nezabúdaj že je to nelegálne sa niekomu hacknúť do webovej stránky alebo do iného systému.

[Mikeses 0]

DooM nie neukradol, len vyhrážal, to čo je na vps tam aj ostalo, keď ste to zmazali, tak zmazali, keď nie tak nie. Mňa vaše módy nezaujímajú. Nakoniec, ty si mi sám poslal tvoje pwn od tvojho módu. Ale stop OffTopic, nechcem var.

K topicu: PHP script býva najviac náchylný pri prihlasovaní do databázy na XSS (Cross-Site-Scripting), a ešte aj tzv. PHP Includy (súbory cez include(); ) kde bývajú často (hlavne u začiatočníkov) nezabezpečené, formuláre a iné veci okolo fromulárov, to je snáď jasné, potom sú to nezabezpečené GET a POST v php (napr. máš výber z db kde máš ID článku ktorý sa vyberá z db, ale nieje to zabezpečené aby to bolo len číslo) alebo napr. vkladanie komentárov do stránky kde je formulár treba vždy pokaždé "prebehnúť" ošetrením ( htmlspecialchars(); ) a iné veci... Alebo niekto dá údaje od db (a potom to includuje do spojenia s mysql databázy) verejnej prístupnej zložky kde napr. dá koncovku .inc ,ale toto je zraniteľnosť, keď na ten súbor niekto "narazí" a otvorí ho, tak bez problémov aj začiatočník vidí údaje od DB a potom už si môže nastaviť Administrátorký účet na stránke, zmazať db a iné veci, ktoré môžu spôsobiť neočakávané chyby na stránke... S XSS sa najviac stretneš v chybách v stránkach programovaných v php.

Ale určite ti sem nikto nebude dávať presný návod ako na hacknutie toho a toho, ak chceš, tak si to nájdi v google.com , ale nezabúdaj že je to nelegálne sa niekomu hacknúť do webovej stránky alebo do iného systému.

 

Jojo :-) neni tezke zabezpecit jednu vec, ale je tezke zabezpecit cely web jako celek.

[4Forse 94]

"Ukradnout" nebo-li stáhnout z webftp soubor (mód) určitě lze. Jenže musíte mít dostatečnou znalost PHP. Co se týče hacknutí, dnes toto slovo používájí všichni ke všemu. Jenže je hack a využití bugu co dokáže každý pokud o něm ví.

[Shadows 0]

Mikeses, presne, mám s tým skúsenosti , ale ešte ťachšie je zabezpečiť, to čo dávaš na stiahnutie (napr. svoj vlastný RS) potom každú 1 chybu v zabezpečení si odnesú desiatky a väčšinou keď je to známi RS tak aj stovky webov ktoré nemajú opravenú tú chybu... A ešte, radím všetkým ktorý majú niake INC súbory ktoré si includujú, tak nech si ich dajú do samotného priečinka pod niakym názvom ktorý je nezmysluplný (napr. fafght) a tam dať .htaccess keď to hosting podporuje kde treba dať deny from all . A potom sa zamerať na XSS (najväčšia možnosť chyby v zabezpečení je XSS , ale samozrejme že sú tu aj iné ) a ešte môžem poradiť, poprosiť svojho známeho ktorý "vie" hackovať (preto som to dal do uvodzoviek, že sa to nedá naučiť ako dejepis) aby vyskúšal on bezpečnosť toho webu ako velký 1 celok, ak hackne niekdo čo len najmenšiu časť stránky, tak takmer vždy sa dostane vďaka tomu ďalej, a ďalej, a ďalej, ... až kým sa nedostane ku celému prístupu k webu alebo k systému/databázy. Forse máš pravdu, najviac ma naštve keď niekdo dojde na server, a niektorý hráči začnú mu hovoriť "hacker, došiel hacker" a pritom myslia tým cheater... Im to nevysvetlíš...

[Čmoud 0]

DJ_Espire.....chceš se naučit hacknout server? nebo se dostat do rcon u RZE 8? napiš mi na mejl...

[GAMELASTERツ 73]

Ja sem tiez hackoval... Bol to stary trik. Chyba je bud v neskusenich alebo dementnich uzivateloch. Princip bol na tom ze ja som napisal ze potrebujem skusit jeden script na prihlasovanie na FB. Lebo dakomu to ide, dakomu nie. Tak oni tam isly, prihlasili sa a islo to. Ale medzi tym im to ulozilo heslo do suboru a bolo .... Lacny trik

[4Forse 94]

DJ_Espire.....chceš se naučit hacknout server? nebo se dostat do rcon u RZE 8? napiš mi na mejl... Cmoudislav

server jako takový nehackneš,ale přemýšlel jsem nad teorii, že při připojení klient načítá mod, nevím jak funguje samp, prtoo nemužu nic tvrdit,ale snad teoreticky by se dal okopírovat podle přijatých funkcí.

[GAMELASTERツ 73]

DJ_Espire.....chceš se naučit hacknout server? nebo se dostat do rcon u RZE 8? napiš mi na mejl... Cmoudislav

jo jasneeee... DEMENCE DELETE,VAR

[Čmoud 0]

stačí zadat 2 příkazy a vypíše ti to heslo od rcon a dá ti to lvl 5 na jakým koli serveru RZE pokud nemá ochranu

[GAMELASTERツ 73]

stačí zadat 2 příkazy a vypíše ti to heslo od rcon a dá ti to lvl 5 na jakým koli serveru RZE pokud nemá ochranu

logicky trole

[G4NG 1]

stačí zadat 2 příkazy a vypíše ti to heslo od rcon a dá ti to lvl 5 na jakým koli serveru RZE pokud nemá ochranu

Tu je o zverejnovanie kokotin o rze prísne trestané paánom Atomašem takže var + delet príspevkov je to logicke a rze tu nemame v láske to za prve a za druhe je tu otom zakazane debatovat s rze bez spamovat jinde

Var + delete príspevkov lebo je to trapas

PS: v strarsich verzich ako 0.3c se dealo hackovat cez clienta a dodnes sa da ale uz tazko ale kdo njde bugy vediet bude

[tbx 7]

Mimochodem, jedna z nejlehčích a hodně používaných taktik je tzv. Sociální inženýrství, což je získání něčeho přesvědčením někoho jiného. Například získání hesla od uživatele tím, že mu posleš důveryhodný mail který vypadá jako od technika serveru, na kterém hostuje, apod.

[ATomas 291]

Ke kradenim modu z hostingu. To je velice jednoduche, majitel hostingu da pristup nekomu ze svy kamaradu (jako jeden nejmenovany hosting ktery existuej i dnes, je na sa-mp scene dlouho, ale porad opakuje svoje chyby). A ten kamarat si to stahne a zverejni, nebo nekomu proda a ten to zverejni. Proste jakmije to ma nekdo jiny nez vy je 100%tni ze to bude venku jen otazka casu.

 

S tim hackovanim serveru, to je obyvkle pres vytvorene diry v gamemodes a nebo filterscriptech. Hlave na kradenych RZE tyto prikazy jsou.