Vollständige Version anzeigen : Voting manipulieren


joergiman
12.04.2007, 23:40

Hallo Leute!

Wie kann ich das Voting unter _frequency-at/index-php?id=900 manipulieren, so dass eine bestimmte Band auf einen schlag um 10000 stimmen mehr hat, mit jeweils 8 sternen.

eine kurze info => das voting überprüft die ip => pro ip nur ein voting.

kann mir jemand helfen? für eine antwort wär ich sehr dankbar.


xXxfirexXx
12.04.2007, 23:45

ip wechseln. einfach router neustarten. MÜsste doch eig gehen.

IM ug giebts ein programm das macht das ganze in 3 sec.


Relive
13.04.2007, 00:29

Ähnliche Themen: Online Voting manipulieren Guten Tag liebe Community, ich hab an diesem Gewinnspiel hier teilgenommen, __-notebooksbilliger-de/contest_xmas-php/site/voting und da[...]
Voting manipulieren Hallo Leute! Wie kann ich das Voting unter _frequency-at/index-php?id=900 manipulieren, so dass eine bestimmte Band auf einen schlag um 1[...]
Voting manipulieren
10000 mal router neustarten? oO
außerdem funzt das prog nich immer_..


xXxfirexXx
13.04.2007, 00:40

10000 mal router neustarten? oO


is doch ne lösung^^ muss dir halt laaaaaaaange zeit nehmen

mhm_.. alo bei mir hilft das proggramm es geht eig immer-Wir reden ja schon vom gleichen?? das Frizbox neustarten in 3 sec?


icq-light
13.04.2007, 00:53

nimmste dir die programmiersprache deiner wahl_. machstn n browser auf dein formular und lässt per proxies anklicken --> viele klicks


FlowFlo
13.04.2007, 03:06

SChreib dir nen kleines Script was dir von diversen Internet Seiten HTTP-Proxies aus dem Netz filtert. Dann nen zweites Script was die Seite jeweils mit nem anderen Proxy aufruft


joergiman
13.04.2007, 08:52

ja, das problem bei dem ganzen ist aber, dass das script dauernd laufen muss_.. kann man nicht werte in die datenbank schreiben?


icq-light
13.04.2007, 13:06

man könnte es ja in php schreiben, ist nur die frage ob ich da per sockets die auswahlen machen kann_..

Das ist ja garkein flash oder so_. nur ein link wo ich ein parameter ändert!

_frequency-at/typo3conf/ext/music/ajaxRating/db-php?j=[ANZAHL DER STERNE]&q=901&t=[IP]&c=8

da müssteste sogar nur die IP von nem proxy eintragen oder dir eine ausdenken_. ich teste_.

*test*

mh_. also irgend ne ip eintragen geht nicht_. also werden die denk ich mal deine ip mit dem paramete "t" prüfen_. das heißt per proxy einfach n socket machen




<?php

$host = "_-frequency-at";
$port = 80;

$mySocket = socket_create(AF_INET, SOCK_STREAM, SOL_TCP);
echo "created \r\n";
$result = socket_connect($mySocket, $host, $port);
echo "connect_. \r\n";

$header = "GET /typo3conf/ext/music/ajaxRating/db-php?j=[ANZAHL]&q=[BAND_ID]&t=[IP]&c=8 HTTP/1_1\r\n";
$header _= "Host: _-frequency-at\r\n";
$header _= "User-Agent: Mozilla/4_0 (compatible; MSIE 6_0; Windows NT 5_1)\r\n";
$header _= "Connection: keep-alive\r\n";
$header _= "Referer: _-frequency-at";
$header _= "Connection: Close\r\n\r\n";

socket_write($mySocket, $header, strlen($header));
echo "send header_. \r\n";

socket_close($mySocket);

?>



das wäre der code ohne Proxy mit Proxy muss ich nochmal forschen_. hab ich noch nie gemacht _.


jutharsan
13.04.2007, 13:24

ip wechseln. einfach router neustarten. MÜsste doch eig gehen.

IM ug giebts ein programm das macht das ganze in 3 sec_

Meint ihr wie bei Rapidshare die Wartezeit umlaufen?

1-Cookies löschen.
2-Modem neustarten.


So funkzt es bei mir.


00johnny00
13.04.2007, 13:41

Eventuell nach einer XSS Lücke suchen. Dadurch köntne man das Voting auch manipulieren!


Hardwarehunger
13.04.2007, 13:47

schreib dir nen script.

methode_1:
router/fritbox/horstbox über telnet neustarten
per inetcontrol voten
_..

methode_2
router per inetcontrol neustarten
per inetcontrol voten
_..

mittem bissle basteln geht das schon

ps:
cookies garnet erst einschalten, dann gehts auch ohne cookies zu löschen


icq-light
13.04.2007, 13:48

Es scheint so als ob man den Link

"_frequency-at/typo3conf/ext/mu_.-ting/db-php?j=[ANZAHL DER STERNE]&q=[BAND_ID]&t=[DEINE_IP]&c=8"

beliebig oft aufrufen kann!

also mit OPera aufmachen und dann automatisch reload aller 5 sek :) fertig viel spaß


Hardwarehunger
13.04.2007, 13:51

habs auch grad getestet, das funkt, jedoch würd ichs nicht machen, da die ip wohl geloggt wird und wenn da 10000 mal die gleiche ip untereinander steht, wennses überprüfen_..

naja auf jeden fall macht der link das script 10 mal einfacher ;)


joergiman
14.04.2007, 16:56

leute. ich habe das gleiche voting script unter: Unobtrusive AJAX Star Rating Bar | Software | Masuga Design (__-masugadesign-com/the-lab/scripts/unobtrusive-ajax-star-rating-bar/) gefunden. scheint das gleiche zu sein. auch die parameter sind gleich. hier wird aber auf die server-variable überprüft, das heißt, woher der request kommt.

und das mit dem im browser eingeben funktioniert nicht, da der gesamtvotingstand der gewünschten band sich nicht erhöht.


Ktm123
14.04.2007, 17:32

Cross-site-scripting_..

Wenn man genau hinsieht, ist in der Abo-funktion eine lücke ;)
Du musst nurnoch dem admin den manipulierten link schicken und fertig

geb einfach mal neben "newsletter" in das feld das ein: <script>alert("lol")</script>_.. dann weißt du, was ich meine:)

was noch funktionieren könnte, wäre session-hijacking, also dem admin ein session vorgeben und dann sich selbst mit dieser session anmelden.


My-Doom
14.04.2007, 19:19

es ist zwar eher offtopic, aber auch ich habe eine frage zu nem vorhergehenden beitrag;
Wie könnte denn ein mit Hilfe von CrossSiteScripting manipulierter Link für den jeweiligen webmaster der seite aussehen ?
Und in welcher sprache findet das cross-site-scripting denn statt? Auf mich macht es den Eindruck als ob es Java(Skript) wäre?(
und es scheint auf garnicht so wenigen Seiten zu funktionieren.
Ich hoffe, das ganze wird nicht als Request angesehen. Mich würde nur mal interessieren was CrossSiteScripting so an Möglichkeiten offenlegt. (=

mfg

My-Doom


tHe dUdE
14.04.2007, 19:51

es ist zwar eher offtopic, aber auch ich habe eine frage zu nem vorhergehenden beitrag;
Wie könnte denn ein mit Hilfe von CrossSiteScripting manipulierter Link für den jeweiligen webmaster der seite aussehen ?
Und in welcher sprache findet das cross-site-scripting denn statt? Auf mich macht es den Eindruck als ob es Java(Skript) wäre?(
und es scheint auf garnicht so wenigen Seiten zu funktionieren.
Ich hoffe, das ganze wird nicht als Request angesehen. Mich würde nur mal interessieren was CrossSiteScripting so an Möglichkeiten offenlegt. (=

mfg

My-Doom


XSS – Wikipedia (_de-wikipedia-org/wiki/XSS)


Ktm123
14.04.2007, 20:05

es wird praktisch mit javascript ein link zu einer -php datei erstellt, der den cookie und weitere daten enthalten kann. Dann wird mit dem php-script einfach nur der cookie ausgelesen und du hast die zugangsdaten vom administrator.


tHe dUdE
14.04.2007, 21:30

es wird praktisch mit javascript ein link zu einer -php datei erstellt, der den cookie und weitere daten enthalten kann. Dann wird mit dem php-script einfach nur der cookie ausgelesen und du hast die zugangsdaten vom administrator_

Das ist eine Variante von XSS. Wahrscheinlich auch die gebraeuchlichste aber nicht die einzige!


joergiman
15.04.2007, 13:13

erklärt mir das mal genauer mit "<script>alert("lol")</script>"


My-Doom
15.04.2007, 15:56

erklärt mir das mal genauer mit "<script>alert("lol")</script>"
Vorweg: <script>alert("lol")</script> ist einfacher Java(Script) code.
So, nun hats ja auf der im 1. post benannten Seite so ein kleines "form input" kästchen, also da wo man eigtl seine email adresse eintragen soll. Dh_, dass was du in dieses Kästchen einträgst, wird an den Server übermittelt und als bestätigung(dass die eigegebene eMail adresse aufgenommen wurde) wieder ausgegeben. Dh. auch, dass jene email Adresse bzw. eingabe auch im Quellcode der betreffenden Homepage zu stehen hat. (Ohne Quellcode keine ausgabe^^). Da man nun ja so gesehen zugriff auf den Quellcode der Homepage bekommt, kann man auch andere sachen als eine eMail adresse in jenem integrieren. so zB das <script>alert("lol")</script> (<script>DasScriptHisself</script> vermittelt dem browser, dass an dieser Stelle des Quellcodes ein JavaScript zu "parsen" ist. Dh. nun denkt man sich noch einen schönes Script aus, wie es zb alert("message"); ist und kann somit ein PopUp auf der neu generierten website erzuegen.

Ich hoffe das ist vorerst genug erklärung. Auch ich kann dir jetzt den WikipediaArtikel (_de-wikipedia-org/wiki/XSS)bzgl des Themas nahelegen.

mfg

My-Doom


joergiman
15.04.2007, 20:12

also ich hab das jetzt verstanden, nur was schreib ich dann in das script rein, kann ich das nehmen, was mir "icq-light" vorgeschlagen hat? wenn dieses script funktioniert, ist das dann egal, ob das voting script an sich meine ip überprüft? und wenn ja, wie funktioniert dass dann automatisiert?


joergiman
15.04.2007, 21:12

übrigends - die länge des newsletter- "abo" feldes ist begrenzt, man kann also keinen gesamten voting link einfügen!


Don Poncho
15.04.2007, 23:26

holl dir was zum router reconecten und autoit dann schreibste dir nen script (pups einfach) und lässt den pc von alleine machen ;)


joergiman
16.04.2007, 08:48

ich würde gerne die variante mit dem <script> versuchen _._.


B0B
16.04.2007, 11:08

da musst du dich schon gut auskennen um mit xss soetwas zu manipulieren
du kannst mir natürlich auch das gegenteil beweisen, jedoch seh ich da fast keine chance für dich!


My-Doom
16.04.2007, 17:56

da musst du dich schon gut auskennen um mit xss soetwas zu manipulieren
du kannst mir natürlich auch das gegenteil beweisen, jedoch seh ich da fast keine chance für dich!

Ich auch nicht.

Private Nachricht: Voting-Manipulation
Voting-Manipulation

Heute, 08:50
joergiman
Board Raider
Registriert seit: Aug 2004
Beiträge: 110
Power: 7

Hallo!
Bitte hilf mir, das auf frequency-at zu manipulieren. Über Belohnung können wir reden

Noch ein kleiner "ethischer" Apsekt:
Sehe ich es richtig dass es um ein Voting geht, welche band auf nem konzert spielen darf ?
Falls ja, warum lässt du dann dem schicksaal nicht freien lauf? Wenn sie doch so gut sind, dass dir nahezu jedes mittel recht wäre, diese band "gewinnen" (wer durch cheaten gewinnt ist trotzdem verlierer!) zu lassen, sollten sie es dann nicht auch allein schaffen? Eine Band würde ich als gut bennen wenn sie mehrere Leute als gut und Des Votings-wert empfinden.
In diesem Sinne, Play fair - don't cheat
und wenn du dein durst nach ihnen nicht stillen kannst, kauf dir ne cd von ihnen ?(

mfg

My-D:rolleyes::rolleyes:m


joergiman
16.04.2007, 18:01

eigentlich ist dieses voting nur eine grundlage, und nicht das entscheidende bei diesem festival. außerdem wird meinermeinung nach bei diesem voting nur geschummelt. wie kommt es, dass eine band innerhalb von 2 tagen 19000 stimmen hat? wie kommt es, dass eine bestimmte band innerhalb von 10 minuten um 300 schlechte bewertungen mehr hat? ich denke nicht, dass dabei mit fairen karten gespielt wird.


Don Poncho
16.04.2007, 18:36

dann geh mit guten vorbild vorran und schummel nicht ;) erlichkeit wehrt am längsten!
und wenn da soviel geschummelt wird wie du sagst is es anscheinend nich gerade die tollste veranstaltung also such dir was seriöses


My-Doom
16.04.2007, 18:37

eigentlich ist dieses voting nur eine grundlage, und nicht das entscheidende bei diesem festival. außerdem wird meinermeinung nach bei diesem voting nur geschummelt. wie kommt es, dass eine band innerhalb von 2 tagen 19000 stimmen hat? wie kommt es, dass eine bestimmte band innerhalb von 10 minuten um 300 schlechte bewertungen mehr hat? ich denke nicht, dass dabei mit fairen karten gespielt wird_

schlag genau das dem webmaster vor ??
Er soll doch mal so frei sein und die LogFiles überprüfen, wenn du es echt an konkreten beispielen aufweisen kannst_. Dann erwähnste noch dass die page eh nich so wirklich sicher wäre von wegen corssSiteScripting und mit ein wenig Glück erreichst du schon was.
An sonsten würde mir auch nur die Methode mit dem Permanenten Reconnect und re-vote einfallen (autoIt ftw)


_.-such dir was seriöses
genau! kommst einfach mit zur nature one :) Wenn du lieb bist kannst doch dich auch (mit lichtbild) für ein platz im zelt bei mir bewerben. ;)

mfg

my-Doom


joergiman
16.04.2007, 19:04

ich will nicht, dass die bands, die "geschummelt haben" deswegen aus dem voting genommen werden. die helfen sich auch nur. ist schon schwer genug, in österreich bekannt zu werden.

in der musikindustrie gehts sowieso nur mit schummeln.

danke für die einladung zum nature one ;) vielleicht überleg ichs mir =)


co0nic
21.11.2007, 15:29

Hallo,

und zwar bin ich auf einem kleinen Jugendportal unterwegs. Jeder hat dort ein kleines Profil mit Bildchen, Gästebuch und diverse andere Sachen. :>

Jeder hat dort auch ein Voting, wo man ihn/sie von 1 (schlecht) -> 10 (sehr sympatisch) bewerten kann.
Die Votebar hatte ich mal ganz einfach manipuliert. Da man dort in der Informationsbox HTML & CSS benutzen kann, war es also kein Problem die alte Votingbar per CSS auszublenden und per HTML einfach eine neue mit überall value=10 zu schreiben. Somit konnte man mich nicht runtervoten, bzw. nicht so einfach. Sollte eigentlich jedem klar sein, wie ich das meine.

Da ich dies aber unfair gegenüber den anderen fand, habe ich die neue Votingbar entfernt und die alte wieder sichtbar gemacht. Nu werde ich aber täglich von einer Person runtergevotet. Man muss dazu sagen, wenn man einem weniger als 7 Punkte gibt, bleibt man anonym, d_h. man kann nicht sehen, wer wen runtergevotet hat.

Um dieses Problem zu lösen, kam mir eine Idee. Kann man nicht die Votingbar so umschreiben, dass wenn man auf value=1 drückt, sprich mich runtervotet, dann automatisch auf eine andere Seite weitergeleitet wird auf der ein kleines Script läuft, was mir zb. den Cookie von ihm ausliest oder mir einfach sozusagen sein Nick ausgibt, sprich die letzten 2 Seiten anzeigt, die er davor besucht hat?! Es gibt ja diverse kleine Scripte die auf einer Seite laufen und wenn man nun auf diese Seite draufgeht, erhält der Webmaster in einer online -txt Datei halt die IP von diesem Benuter.

Achja, ganz wichtig. Ich will dem "Opfer" bzw. dem, der mich runtervotet nicht schaden. Ich will ihn dann nur auch runtervoten und ihm darauf hinweisen, dass er bei mir nicht anonym ist. :)

Hat jemand evtl. Ideen die sogar einfacher umzusetzen sind?! Bewertung bekommt jeder. :)


°EraZoR°
21.11.2007, 15:29

SuFu

RR:Board (_board-raidrush-ws/search-php?searchid=140542)


co0nic
21.11.2007, 15:44

omg.

Hast Du dir meinen Beitrag überhaupt durchgelesen? Inwiefern helfen mir die Suchergebnisse bitteschön weiter? Garnicht.


mr sp0ck
21.11.2007, 15:47

hihi
ich hab ne andere id da du nicht weist wer es is dann manipulier doch deine votingbar wieder
und zwar so das sie zwar jnormal aussieht aber wenn man dich schlecht bewertet das die mindestens 7 punkte geben
dann siehste direkt wer dich täglich bewertet und jut is^^


co0nic
21.11.2007, 15:52

Mh, das dumme ist nur, dass das nebenbei auch schon einem Admin aufgefallen ist, der mich dann auch umgehend gebeten hat, es wieder rauszunehmen. :p




raid-rush.ws | Imprint & Contact pr