YourWBB


yourWBB » yourWBB Misc * » Off-Topic » Taverne » WBB-Hack SecureUserPassword v1.0 » Hallo Gast [Anmelden|Registrieren]
Letzter Beitrag | Erster ungelesener Beitrag 2.945 Views | | Thema zu Favoriten hinzufügen

Neues Thema erstellen Antwort erstellen
Zum Ende der Seite springen WBB-Hack SecureUserPassword v1.0
Autor
Beitrag « Vorheriges Thema | Nächstes Thema »
onkel_fisch
Mitglied


Dabei seit: 15.05.04
Beiträge: 8
 WBB-Hack SecureUserPassword v1.0 Antworten Zitieren Editieren Melden       UP
Hi,

sorry weiß leider nicht in welches Forum ich das Packen soll, aber da gerade hier so viel zu diesme Thema ist schreibe ichs mal hierhin, ein Mod kanns ja dann verschieben.


habe einen kleinen Hack entworfen. Habe es auf einem wBB 2.1.6 getestet, dürfte aber auch in den meisten Versionen drunter und drüber funktionieren, da sich an den FUnktionen nichts grundlegendes geändert hat.

  • Mehrfachverschlüsselung der Passwort mit einem Zufalls-Salt, sodass ihr Passwort nicht gecrackt werden kann (mit der größe des Saltes und der Mehrfachverschlüsselung würde das Cracken mehrere Millionen Jahre brauchen).
  • Cookie-Hashes werden mit einem Salt berechnet, sodass ein Angreifer sich nicht mit dem Hash aus der Datenbank in ihren Account einloggen kann


Die einzige möglichkeit wie sich nun noch ein Angreifer zugriff auf den Useraccount besorgen könnte, währe das er das Cookie des User stiehlt. Dazu muss er aber eine XSS Lücke auf dem Server ausnutzen.

Anleitung und Installationsdatei im Anhang. Es kann sein das wenn ihr in einem Editor die suchen Funktion nutz, ihr nichts findet, das liegt daran das bei den verschiedene wbb-versionen mal leerzeichen nach einem if sind und manchmal nicht. Versucht einfach die zu suchende Zeile so mit dem bloßen Auge zu finden, mir hat oft ein eifnaches suchen nach "md5" geholfen und ich kam zu der gewünschten Zeile.
Ich erbitte um Feedback und Bugreports.

Download: http://www.

Mfg
onkel_fisch

__________________
Meine erstellten Hacks:
Sichere Password-Hashes v1.0

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von onkel_fisch: 29.06.05 20:56.
29.06.05 20:56 onkel_fisch ist offline E-Mail WWW Finden Als Freund hinzufügen
Hacksucher Hacksucher ist männlich
Mitglied


images/avatars/avatar-2791.jpg

Dabei seit: 25.05.05
Beiträge: 296
Herkunft: Wen geht das an?
Forenversion: Wbb lite bald 2.3.2
Antworten Zitieren Editieren Melden       UP
??
Hört sich gurt an, ob der aber auch was bringt?

du sagst, der geht auch fürs wbblite?

__________________
te stultum voco!
29.06.05 21:03 Hacksucher ist offline E-Mail WWW Finden Als Freund hinzufügen
Samwan Samwan ist männlich
TEAM - Administrator


images/avatars/avatar-4373.gif

Dabei seit: 01.01.04
Beiträge: 2.237
Herkunft: Insel der Aphrodite
Antworten Zitieren Editieren Melden       UP
Du kannst diesen addon in unsere wbb2-datenbank hochladen und veröffentlichen - sofern du bereit bist auch hier support dafür zu geben. Andernfalls müssten wir auf diesen Addon bei y****** verzichten.

__________________
mfG
Samwan

Bitte keine Fragen zu Hacks und Addons per PN, denn ich code nur ins Klo!

29.06.05 21:04 Samwan ist offline WWW Finden Als Freund hinzufügen
nibble nibble ist männlich
4 Byte


images/avatars/avatar-2016.gif

Dabei seit: 17.01.04
Beiträge: 1.983
Herkunft: /dev/urandom
Antworten Zitieren Editieren Melden       UP
Deine Ausführung hat imo einen kleinen Fehler (ich hab kein wbb2, aber da wirds sicher auch die Möglichkeit geben): Was passiert, wenn im ACP an den Benutzer ein neues Passwort vergeben wird? Hast du das was vergessen oder hab ichs nur übersehen?

__________________
Es wird immer jemanden geben, der in unglaublicher witziger Manier eine Aussage übertreffen muss.
29.06.05 21:05 nibble ist offline E-Mail Finden Als Freund hinzufügen
onkel_fisch
Mitglied


Dabei seit: 15.05.04
Beiträge: 8

Themenstarter Thema begonnen von onkel_fisch
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von nibble
Deine Ausführung hat imo einen kleinen Fehler (ich hab kein wbb2, aber da wirds sicher auch die Möglichkeit geben): Was passiert, wenn im ACP an den Benutzer ein neues Passwort vergeben wird? Hast du das was vergessen oder hab ichs nur übersehen?


Vielen Dank, das hatte ich noch vergessen !

__________________
Meine erstellten Hacks:
Sichere Password-Hashes v1.0
29.06.05 21:08 onkel_fisch ist offline E-Mail WWW Finden Als Freund hinzufügen
ViV0
Mitglied


Dabei seit: 04.12.05
Beiträge: 1
Antworten Zitieren Editieren Melden       UP
Sry ,dass ich diesen Thread jetzt noch hochhole.
Aber hat jmd diesen Hack?
Interessiert mich unheimlich und sein Forum ist closed unglücklich .
Das Nachfolgerforum ist nur so von MySQLerrorn befallen großes Grinsen
24.01.06 02:11 ViV0 ist offline E-Mail Finden Als Freund hinzufügen
Lucadris Lucadris ist männlich
Pornoking


images/avatars/avatar-4382.gif

Dabei seit: 17.01.06
Beiträge: 97
Herkunft: Innsbruck (AUT)
Forenversion: 2.3
Antworten Zitieren Editieren Melden       UP
du bist kein wbb2 user also wird den für dich gar nicht geben großes Grinsen

Undwenn dann ist er nur im wbb 2 bereich smile

__________________
My Projects:
24.01.06 02:52 Lucadris ist offline E-Mail WWW Finden Als Freund hinzufügen
ESmazter
Mitglied


Dabei seit: 28.03.04
Beiträge: 1.368
Forenversion: 1.0
Antworten Zitieren Editieren Melden       UP
Zitat:
Original von Lucadris
du bist kein wbb2 user also wird den für dich gar nicht geben großes Grinsen

Undwenn dann ist er nur im wbb 2 bereich smile


Der funktioniert mit allen sagt er doch.
25.01.06 14:11 ESmazter ist offline Finden Als Freund hinzufügen
Jack
Alternativ Mitglied


Dabei seit: 16.01.04
Beiträge: 1.055
Antworten Zitieren Editieren Melden       UP
gelöscht

Dieser Beitrag wurde 1 mal editiert, zum letzten Mal von Jack: 02.07.14 18:27.
29.01.06 17:28 Jack ist offline Finden Als Freund hinzufügen
Baumstruktur | Brettstruktur
Gehe zu:

Neues Thema erstellen Antwort erstellen
yourWBB » yourWBB Misc * » Off-Topic » Taverne » WBB-Hack SecureUserPassword v1.0