IP-Security Hack 1.0.7 [WBB-Hack]

Dieses Thema im Forum "Security Tutorials" wurde erstellt von D4m14n, 13. August 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 13. August 2007
    Hi,

    ich stelle euch hier mal meinen Hack (Lite Version) für das WoltlabBurningBoard 2.3.6.pl2 vor:

    Sinn und Zweck?
    In der Szene werde Boards oft gehackt. Hacker erschleichen sich durch Exploits oä die Hashes und knacken sie, und können dann das Board durchs ACP zerstören.

    Der IP-Security-Hack verhindert, dass sich unbefugt trotz Besitz von Userdaten im board einloggen können!

    In der LITE Version (Black Edition) kann man pro User im ACP 2 IP-Masks eintragen:
    http://home.arcor.de/d4m14n-7/1.JPG

    Nur mit diesen IP-Masks kann sich der User im Board einloggen.

    Wenn die IP-Masks nicht passen:
    http://home.arcor.de/d4m14n-7/2.JPG

    Diese Version des Hacks ist ausschließlich für kleine non-public Boards.
    Er gilt nur für das Board, und bietet keinen Schutz im ACP!
    Außerdem ist sie eine Preview Version:

    DOWNLOAD:
    http://www.speedyshare.com/992231583.html

    Es gibt auch eine kommerzielle Version des Hacks.
    Diese hat NICHTS mehr mit dem ursprünglichen Hack zu tun.

    Screenshots der Private Edition (momentan in Version 3.0.2):
    http://home.arcor.de/d4m14n-7/Benutzer bearbeiten.JPG
    http://home.arcor.de/d4m14n-7/Falsche IP Board.JPG

    Sie bietet die möglichkeit 4 IP-Mask einzutragen. Sie ist wahlweise pro User für das Board und ACP deaktivierbar/aktivierbar.
    Das heißt, Hacker, die eure Admindaten haben, können sich nicht einloggen, weil die wahrscheinlichkeit, dass sie von der selben IP-Mask kommen eher unwahrscheinlich ist. Meist werden ja Proxys benutzt und diese werden sich sicherlich nicht in der Datenbank finden.
    Zusätzlich gibt es noch das IP-UpdateScript 1.0.1. Es ist dafür gedacht das erste IP-Feld zu besetzen!

    Wenn das erste IP-Feld besetzt ist:
    http://home.arcor.de/d4m14n-7/Benutzer bearbeiten.JPG

    wird die GESAMTE IP geprüft. Das heißt man muss exakt die selbe IP haben, wie die, die im ACP eingetragen wurde. Ansonsten kommt man nirgendswo rein.
    Das Script dient dazu diese IP automatisch einzutragen. Nur der Admin weiß wo es sich auf dem Server befindet und kann die index.php aufrufen.

    Screen:
    http://home.arcor.de/d4m14n-7/IP-UpdateScript.JPG

    Die Ip kann nur automatisch eingetragen werden, wenn man User und Pass kennt. Diese werden IN DER INDEX.PHP definiert (md5 verschlüsselt). Das heißt, das Ip-Update Script arbeitet OHNE Datenbank, was das rausfinden der Userdaten UNMÖGLICH MACHT. Nur Leute die Zugriff auf den FTP haben, können dies rausfinden (aber md5-verschlüsselt). Sodass es ihnen kaum was bringt.
    Nur das Admin kann eben die IP-Eintragen!!!

    Erhöht den Sicherheitsfaktor um einiges.
    Die Private Edition kann auch auf großen Boards installiert werden und lediglich zum schutz der Admins im ACP aktiviert werden.

    Changelog,Preis usw:
    http://damian.killerserver.net/blog/?page_id=42

    Blog/Neuigkeiten:
    http://damians-world.dl.am/


    Mit freundlichen Grüßen
    D4m14n
     
  2. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.