Coder Board Community

OK das leuchtet ein. Dann sind zumindest nicht die Passwörter selbst betroffen. Allerdings hier im Forum spielt es dennoch eine Rolle. Oder ist es nach dem Update nicht mehr möglich mittels dem md5 Wert rein zu kommen? Weil beim Login den md5 Wert anzugeben macht keinen Sinn da dieser vor der Überprüfung mit der DB noch mal mit md5 gewandelt wird und somit dann nicht mehr passt. Oder stehe ich heute Morgen auf der Leitung?

P.S.: Was genau meinst Du mit den BB Codes? Hab ich die beim Update geschrottet oder was genau klappt nicht?

OK dann bleibt nur noch die Frage offen ob es noch eine Möglichkeit gibt mittels diesem md5 Wert ins Forum zu gelangen. Und wie war dies vorher möglich? Weil drin war auf jeden Fall jemand es wurde mit einem Team Account ein Posting erstellt welches 100% aufzeigt das der User rein konnte.

Hallo,
habe gerad die E-Mail gelesen.
Kann mir ggf. jemand sagen, ob Woltlab bereits auf diese von Euch genannte Lücke reagiert hat, oder liegt es evtl. nicht direkt mit dem WBB zusammen ?

Wenn Du die aktuelle Version vom WBB hast existiert diese Lücke nicht mehr. Aber es muss die aktuelle sein also WBB 2.3.6 PL 1

naja es komm,en zur zeit sehr viele Bug raus ich würde an deiner stelle mal bei Frank vorbei schauen also www.radiosunlight.de denn wenn es eine Lücke gibt weis frank dies als erstet.


Da Frank keine Daten an woltlab rausgibt was ich natürlich auch verstehen kann.

Ich habe schon von seinem Hack gehört der viele Angriffe und alles blockt. Hört sich alles in allem auch ganz interessant an. Allerdings kam ich noch nicht dazu mir das ganze mal anzuschauen und außerdem finde ich sein Forum zu unübersichtlich um die Sachen zu finden welche mich interessieren. Das Radio gehört für mich da halt nicht dazu.

nagut ich bin der meinung das er in letzten zeit die foren aufgeteilt hat wbb2 in einen bereich und und .

Also ich bin der meinung währ sicherheit haben will der muss dafür so was im Kauf nehmen.

Quoted

Original von the dalton
hallo leute,

also irgendwie scheint der bbcode hier nur zu funzen, wenn er gerade lust und laune hat.

aber nun zum eigentlich sinn dieses threads:

das auslesen der passwörter selbst ist gar nicht möglich. lediglich das auslesen des md5-hashwertes soll mittels inject möglich sein, der über die darei search.php gesteuert wird. md5-hashes sind nicht zu entschlüsseln. das ist technisch nicht möglich. lediglich ein vergleich des hashes mit hashwerten von bekannten (möglichen) passwörtern würde zum ziel führen. wer als passwort so etwas wie "meine85mama26" benutzt, ist auf der sicheren seite. demnach kann von dieser sicherheitslücke MAXIMAL jemand betroffen sein, der ein absolut unsinniges passwort wie "0000" oder "123456" benutzt.

in diesem sinne...

einen schönen tag noch.

Hi,
Ist nicht ganz richtig was du da sagst mit MD5 ist sicher.
Es ist eine sehr simple Variante ein Passwort zu verschlüsseln aber mit dem richtigen Programm und eine sehr große Wortliste auch schaffbar.

Beispiel:
- Man kommt an den MD5 Hash
- MD5 Hash wird in das Richtige Programm eingefügt
- Das Programm Wandelt aus eine Riesigen Wortliste alle Wörter in MD5 um und gleich sie mit dem MD5 Hash der gefunden wurde ab.
- MD5 Hashs stimmen überein
- Programm meldet das Passende Wort zurück was mit dem MD5 Hash übereinstimmt

Möglich ist es hab selbst so ein Programm Programmiert und getestet.
Mit einem 800MhZ PC schafft man ein 4 Stelliges Passwort in ca. 8 Stunden.

Wollt es nur mal gesagt haben.

Ach und ich würde es eine Sauerei finden wenn jeder User dazu gezwungen wird Alphanumerische Passwörter zu nutzen.
Manche haben eben ein Kurzzeit Gedächtnis von 5 Minuten da darf man so was nicht verlangen. XD

Quoted

Original von ~Fury~

Quoted

Original von the dalton
hallo leute,

also irgendwie scheint der bbcode hier nur zu funzen, wenn er gerade lust und laune hat.

aber nun zum eigentlich sinn dieses threads:

das auslesen der passwörter selbst ist gar nicht möglich. lediglich das auslesen des md5-hashwertes soll mittels inject möglich sein, der über die darei search.php gesteuert wird. md5-hashes sind nicht zu entschlüsseln. das ist technisch nicht möglich. lediglich ein vergleich des hashes mit hashwerten von bekannten (möglichen) passwörtern würde zum ziel führen. wer als passwort so etwas wie "meine85mama26" benutzt, ist auf der sicheren seite. demnach kann von dieser sicherheitslücke MAXIMAL jemand betroffen sein, der ein absolut unsinniges passwort wie "0000" oder "123456" benutzt.

in diesem sinne...

einen schönen tag noch.

Hi,
Ist nicht ganz richtig was du da sagst mit MD5 ist sicher.
Es ist eine sehr simple Variante ein Passwort zu verschlüsseln aber mit dem richtigen Programm und eine sehr große Wortliste auch schaffbar.

Beispiel:
- Man kommt an den MD5 Hash
- MD5 Hash wird in das Richtige Programm eingefügt
- Das Programm Wandelt aus eine Riesigen Wortliste alle Wörter in MD5 um und gleich sie mit dem MD5 Hash der gefunden wurde ab.
- MD5 Hashs stimmen überein
- Programm meldet das Passende Wort zurück was mit dem MD5 Hash übereinstimmt

Möglich ist es hab selbst so ein Programm Programmiert und getestet.
Mit einem 800MhZ PC schafft man ein 4 Stelliges Passwort in ca. 8 Stunden.

Wollt es nur mal gesagt haben.

Ach und ich würde es eine Sauerei finden wenn jeder User dazu gezwungen wird Alphanumerische Passwörter zu nutzen.
Manche haben eben ein Kurzzeit Gedächtnis von 5 Minuten da darf man so was nicht verlangen. XD

Per Brute Force bekomme ich jedes Passwort raus selbst wenn es weiß der Teufel für Zeichen enthällt und ewig lang ist. Aber wie Du selbst schon schreibst dauert ein 4 Stelliges Passwort schon 8 Stunden. Angenommen der Rechner ist schneller geht es auch schneller aber ich z.B. habe ein 12 Stellen umfassendes Passwort. Wie lange würde das dauern?

Zwingen werde ich niemand ein bestimmtes Format beim Passwort einzuhalten. Ich weise lediglich darauf hin das z.B. ein Passwort wie "1234" oder "Hallo" bei weitem nicht so sicher ist wie "$ta@Di1s%" oder sowas in der Richtung.

so hallo erstmal , habe gerade eure e-mail gelesen und will hier auch mal meinen senf dazugeben da ich mit dem thema sicherhet relativ gut auskenne.

Der angreifer ist mit 100 % sicherheit über ein vuln in der search.php in euer forum gekommen was aber mit der neusten wbb version gefixt worden ist. ( hab gerde getestet ist dicht )

Bei dem vuln handelt es sich um eine sql injektion, die ermöglicht die user hashes ( md5 verschlüsselt ) aus der datenbank zu "klauen"

Na ja was kann man mit so einem userhash anstellen , entweder man crackt den hash mittels rainbowtables oder ...( verrat ich nicht) na ja auf alle fälle ist es einem nach solch einer atacke möglich sich hier im forum als admin anzumelden.
Ich hoffe alle admins und mod´s hier haben ihr pass geändert ??!!

ach ja ein Beitrag vor mir , das ist kein md5 hash , kannst mir aber mal gerne einen hier reinposten dann kann ich mich mal daran versuchen.


MFG

Benni

Quoted

Original von ~Fury~

Quoted

Original von the dalton
hallo leute,

also irgendwie scheint der bbcode hier nur zu funzen, wenn er gerade lust und laune hat.

aber nun zum eigentlich sinn dieses threads:

das auslesen der passwörter selbst ist gar nicht möglich. lediglich das auslesen des md5-hashwertes soll mittels inject möglich sein, der über die darei search.php gesteuert wird. md5-hashes sind nicht zu entschlüsseln. das ist technisch nicht möglich. lediglich ein vergleich des hashes mit hashwerten von bekannten (möglichen) passwörtern würde zum ziel führen. wer als passwort so etwas wie "meine85mama26" benutzt, ist auf der sicheren seite. demnach kann von dieser sicherheitslücke MAXIMAL jemand betroffen sein, der ein absolut unsinniges passwort wie "0000" oder "123456" benutzt.

in diesem sinne...

einen schönen tag noch.

Hi,
Ist nicht ganz richtig was du da sagst mit MD5 ist sicher.
Es ist eine sehr simple Variante ein Passwort zu verschlüsseln aber mit dem richtigen Programm und eine sehr große Wortliste auch schaffbar.

Beispiel:
- Man kommt an den MD5 Hash
- MD5 Hash wird in das Richtige Programm eingefügt
- Das Programm Wandelt aus eine Riesigen Wortliste alle Wörter in MD5 um und gleich sie mit dem MD5 Hash der gefunden wurde ab.
- MD5 Hashs stimmen überein
- Programm meldet das Passende Wort zurück was mit dem MD5 Hash übereinstimmt

Möglich ist es hab selbst so ein Programm Programmiert und getestet.
Mit einem 800MhZ PC schafft man ein 4 Stelliges Passwort in ca. 8 Stunden.

Wollt es nur mal gesagt haben.

Ach und ich würde es eine Sauerei finden wenn jeder User dazu gezwungen wird Alphanumerische Passwörter zu nutzen.
Manche haben eben ein Kurzzeit Gedächtnis von 5 Minuten da darf man so was nicht verlangen. XD

Das ist so nicht richtig. Ist das Passwort "zufällig" (zufällig ist relativ), ohne eine gewisse Präferenz gewählt, kannst du in 8 Stunden nicht alle Beispiele durchgehen. Das wären nämlich 155*155*155*155 = 577.200.625 Kombinationen. Wenn du für das aufstellen und das Vergleichen eines Passwortes 10 ms brauchst, würdest du im durchschnittlichen Fall 33 Tage und im schlechtesten Fall 66 Tage benötigen.

Nunja.
Ich weiß das es nicht ganz richtig ist, aber ich hab das erstmal ein wenig anders gemacht

Suche: search.php

öffne diese mit einem Editor. Suche Zeile 648:


ersetze diese Zeile mit:



alle Angaben ohne Gewähr!

Gruß

Ich weiß nicht was ich davon halten soll aber mal ganz ehrlich. Wie kann es sein das jemand so viel Zeit damit zubringt andere Foren zu knacken? In der Zeit kann man was Sinnvolles anstellen denke ich. Von daher weiß ich nicht wieso ich Stunden und Tage damit verbringen soll irgendwelche Sicherheitsmechanismen zu installieren. Aber das muss jeder selbst wissen.

Das Thema mit dem md5 ist für mich noch nicht so ganz vom Tisch. Mich würde mal interessieren ob es zumindest in der Therorie möglich sein könnte, dass der User welcher mir das Sicherheitsloch gezeigt hat den md5 genommen hat und sich damit irgendwie eingeloggt hat oder ob er nur Glück hatte das der entsprechende Team User ein einfaches PW hatte. Denn wenn 4 Stellen schon 33-66 Tage dauern was passiert dann erst bei 8 oder 12 Stellen? Gibt es echt User die 155*155*155*155*155*155*155*155*155*155*155*155 MAL 10 ms Zeit aufwenden um ein 12 Stelliges PW raus zu finden? Das geknackte PW kenne ich selbst nicht von daher weiß ich nicht wie lang es war und wie es lautete. War / ist es also möglich weiterhin diese md5 Hashes als Login zu nutzen?

Ich muss wissen ob das Problem nun behoben ist oder ob weiterhin Angriffspunkte existieren.

Der Tip mit dem ACP und dem htaccess ist übrigens nicht falsch. Ich hab das bis jetzt nie genutzt da ich nicht dachte das jemand Spaß daran hätte ein "kleines" Projekt wie das hier zu knacken und Schaden anzurichten. Zumindest wüsste ich nicht was jemand davon hätte. Selbst wenn mir jemand die Datenbank und alles schrottet ist das schlimmste was passieren kann das ich alles von 11 Stunden und 59 Minuten verliere da im intervall von 12 Stunden vollständig alles (Datenbank + Webordner) auf einen externen Server gesichert wird. Also hätte auch ein vollständiges Zerstören des Servers keine so sehr schlimmen folgen.

Mich ärgert an der Sache nur das ich überhaupt gezwungen bin User damit zu behelligen. Würde es nur um mein Passwort gehen würde mich das wenig jucken aber die Daten der User sind heiligtümer welche ich als Admin natürlich gerne unter allen Umständen schützen möchte.

Quoted

Original von Prometheus
Selbst wenn mir jemand die Datenbank und alles schrottet ist das schlimmste was passieren kann das ich alles von 11 Stunden und 59 Minuten verliere da im intervall von 12 Stunden vollständig alles (Datenbank + Webordner) auf einen externen Server gesichert wird. Also hätte auch ein vollständiges Zerstören des Servers keine so sehr schlimmen folgen.

Kannste mir evtl. sagen, wie das mit dem 12-Stunden-Rythmus funzt?
Ich sichere immer von Hand, aber das klappt natürlich nicht alle 12 Stunden, da ich nicht immer einen Rechner dabei habe...

Ich habe einen Root Server welcher per Cronjob alle 12 Stunden die Datenbank ausließt in eine Datei und dann anschließend eine FTP Verbindung zu einem anderen Server aufbaut und dort dann die Datenbank sowie den kompletten Webordner rüber schiebt. Da ich für internen Traffic nicht aufkommen muss kann ich das in der Theorie sogar alle 30 Minuten machen. Allerdings belastet das den Server auch wodurch z.B. um 0:30 Uhr das Forum kurzzeitig langsamer wird. Das Board hier ist ja nicht das einzige was auf dem Server liegt

aha, dachte ich mir schon mir dem Cronjob. Aber da hab ich nur einen von, bräuchte aber 3...
Gibt es sowas net als Hack ?