Phoenix Exploit gefunden (?)

  • Moin,
    Da wir letztens darauf hingewiesen wurden das in den Emulatoren ein Exploit ist.
    Mit dem Exploit kann man anderen Hotel schaden zufügen dies haben wir bei "Kubbo.so" gesehen.
    Ich hab vorhin einen Tipp bekommen wo dieser sich befindet ob dies stimmt kann ich leider nicht überprüfen da ich keine Ahnung von sowas habe. ^^

    Zitat

    [15:31:27] Endrigo P.: I know now where the Phoenix Exploit ist.
    [15:31:40] Likeastar: from? :D
    [15:32:09] Endrigo P.: A anonym person which i don't have the permission to say it.
    [15:32:58] Likeastar: okay
    [15:33:23] Endrigo P.: just check your ChatCommandHandler. More i don't say, the others things you must seach by yourself.

    wzfVqqG.png

  • Moin,
    Da wir letztens darauf hingewiesen wurden das in den Emulatoren ein Exploit ist.
    Mit dem Exploit kann man anderen Hotel schaden zufügen dies haben wir bei "Kubbo.so" gesehen.
    Ich hab vorhin einen Tipp bekommen wo dieser sich befindet ob dies stimmt kann ich leider nicht überprüfen da ich keine Ahnung von sowas habe. ^^

    Ich schätze mal du hast Kontakt zur Englischen-Szene aufgenommen.
    Die müssten auch sehr gutes Englisch beherrschen, da frage ich mich
    warum im Chatlog ein "ist" vorhanden ist, soweit ich weiß gibs
    das Wort nicht im Englischen, oder täusche ich mich?

    Außerdem finde ich das Englisch allgemein nicht gut, sieht mir irgendwie nach einer Fälschung aus.

  • Ich schätze mal du hast Kontakt zur Englischen-Szene aufgenommen.
    Die müssten auch sehr gutes Englisch beherrschen, da frage ich mich
    warum im Chatlog ein "ist" vorhanden ist, soweit ich weiß gibs
    das Wort nicht im Englischen, oder täusche ich mich?

    Außerdem finde ich das Englisch allgemein nicht gut, sieht mir irgendwie nach einer Fälschung aus.

    Es steht nirgends das er aus England ist, glaube eher aus der Spanischen Szene wegen dem Namen 'endrigo'.
    Hast aber recht, das ist aufkeinenfall einer aus der englishen Szene, ist würden eher deutsche schreiben.

  • Ich kenne ihn hier schätzungsweise sehr gut und:

    Er spricht nur englisch und spanisch. Er kann auch deutsch nur keine gute Grammatik,deshalb kann er doch englisch und deutsch mischen?
    z.B Bruce Darnell mischt auch die englische Sprache mir der deutschen. ^^

    B2T: Kann ja einer der C# kann mal suchen.


  • Dann schreibt doch Deutsch? :huh:

    Ja schon, aber nicht super,
    Wie Airdrift schon sagte.

    Er war auch mein alter Projektpartner,
    Deswegen kenne ich ihn gut und denke mal,
    dass er (wie im Chat von Likeastar schrieb) nicht lügte.

    Er schrieb auch Englisch,
    weil er nun mal das besser kann
    Und weil er eh in deutschen Szene
    seit ner Zeit schon inaktiv ist. (Denke ich mal, nach meiner Erfahrung)

    D.h. es ist auch kein 'Verbrechen' jetzt einmal
    ist statt is zu schreiben.

    (Ps:
    Momentan ist er glaub ich
    in der Englischen,
    Deutschen, Spanischen,
    Italienischen Habbo Szene.
    (Deutschen aber inaktiv denke ich mal).)


    Mfg.
    Kaylord (Aka RTL/Wowhab)

  • Ich schätze mal du hast Kontakt zur Englischen-Szene aufgenommen.
    Die müssten auch sehr gutes Englisch beherrschen, da frage ich mich
    warum im Chatlog ein "ist" vorhanden ist, soweit ich weiß gibs
    das Wort nicht im Englischen, oder täusche ich mich?

    Außerdem finde ich das Englisch allgemein nicht gut, sieht mir irgendwie nach einer Fälschung aus.

    http://www.myimg.de/?img=Screenshot201310260423caf92.png
    Mein Gott
    Immer sehe ich deine Kommentare wer Endrigo nicht kennt sollte sein Maul nicht aufreisen um hier Beiträge zu ergattern.
    Er ist aus der Spanischen Szene er spricht englisch spanisch italienischen und ein bisschen Deutsch wozu sollte ich diesen Chatlog fälschen ? Was soll ich davon haben?
    Und weil ich mich eigentlich nicht recht fertigen muss und euch einen Tipp geben wollte habe ich nur für dich einen Screenshot gemacht also bitte halte dich in Zukunft aus Sachen raus von denen du keine Ahnung hast.
    hauste,

    wzfVqqG.png

  • Ist es vielleicht so noobig das die Eingaben in den ChatCommandHandler ungeprüft und ohne Filterung in die Chatlogs übertragen werden oder wie dem auch sei? Wäre ne richtig doofe Geschichte wenn das über Jahre keiner bemerkt hat

  • Lukadora: ob du's glaubst oder nicht. Es ist so. Die Eingabe wird ungefiltert in die Datenbank geschrieben. Unterbricht man also die Query, so kann man schnell unheil anstellen.
    Ich ging einfach die ganze Phoenix Source durch und filterte ' & " eingaben. Somit sind dann (vlt. bin kein SQLi Profi) auch die Lücken gefixt.

  • Ihr könnt auch nur Scheißdreck von euch geben, oder?

    Cheers
    Steve Winfield

    Dann gib etwas besseres ab.

    Entweder diskutiert man hier für eure Verhältnisse "normal" über den möglicherweise vorhandenen Exploit, oder erstellt sich für jede einzelne Unterkategorie (Herkunftsland und Sprachkenntnisse von Endrigo P.) die hier unglücklicherweise ebenfalls unter Debatte stehen, einen Thread im Offtopicbereich.

    Die Alternative wär mir sowieso immer am Liebsten und würde auf die Schließung des Themas zurückführen.

    Einmal editiert, zuletzt von Leider (26. Oktober 2013 um 11:20)

  • Dann gib etwas besseres ab.

    Gerne doch: Die Lücke ist eine erweiterte SQL Injection die überall ausgeführt werden kann, wo keine maximale Länge bei einem String angegeben wurde und eine Query ausgeführt wird. Das Ganze hier hat nichts Explizites mit dem "ChatCommandHandler" zutun.

    Cheers
    Steve Winfield

  • Ich kenne den Exploit und habe ihn bei uns gefixxt: Du musst bei ihm um mehrere Ecken denken um die Lücke zu finden. Es handelt sich hierbei einfach um ne SQLi, weil vermeintlich unmanipulierbare Daten ungesichert eingetragen werden.


    :!: FileXs #Lieblingsmod. :!:
    ... still making kids cry since 2015.

  • Gerne doch: Die Lücke ist eine erweiterte SQL Injection die überall ausgeführt werden kann, wo keine maximale Länge bei einem String angegeben wurde und eine Query ausgeführt wird. Das Ganze hier hat nichts Explizites mit dem "ChatCommandHandler" zutun.

    Cheers
    Steve Winfield

    Da hast du Privileg aber schön zitiert.

  • Lukadora: ob du's glaubst oder nicht. Es ist so. Die Eingabe wird ungefiltert in die Datenbank geschrieben. Unterbricht man also die Query, so kann man schnell unheil anstellen.
    Ich ging einfach die ganze Phoenix Source durch und filterte ' & " eingaben. Somit sind dann (vlt. bin kein SQLi Profi) auch die Lücken gefixt.


    Ich weiß ja nicht, was für eine Version du hast, aber ich habe deine Behauptung nachgeprüft und sie stimmt NICHT!

    Mentale Imagination besitzt die Abilität durch Kontinentaldrift kausierte Gesteinsformationen in ihrer lokalen Position zu transferieren. 

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!