Live-Hotel.eu - Live is Life!

    Zitat von StaffJunior

    Danke,
    aber nein ich denke es nciht nur ich weiss es auch :)

    Danke trotzdem!


    Ja, was kannst du? Du kannst ein Tool benutzen, was hier release wurde, um die Cookies zu stealen? Du bist hard, mein Freund. Du feierst so hart, dass du ein 200 User (Live-Hotel) durch schwache Methoden gehackt hast, indem du eine Datei verschickst, apropo.. du warst das doch garnicht?! Du hast nur zugeguckt. Hacken ist da was für mich etwas anderes, ohne die Staffs reinzulegen. Andere Leute haben HabboST gehackt und feiern nicht so wie du jetzt, ein 200 User Hotel 'gehackt' hast, von hacken kann man eig. garnicht sprechen, dass ist das gleiche wie wenn ich das Passwort von Optimus fragen würde und dann Hotelalerts gemacht hätte, lol.

    Zitat von wolff222


    Mir fehlen die Worte, du wiedersprichst dich sowieso, ich sag dazu nur:

    "Lasst Luminia daraus. Ich hab ihm nur die Rechte gegeben und er hat im Hotel gespamt."
    In meinem ersten Post direkt gesagt das ich Ihm die Rechte gegeben hab. Somit war ich der der über den Zugriff aufs Hotel ihm die Rechte gegeben hab.

    Siehe da schonwieder hast du nur scheiße zu vermelden.

    Im übrigen finde ich es lustig das du hier ein Bild vom angeblichen "Luminia" postest wenn du dich mit mir anlegest.


    Ist okay das du mir nicht folgen kannst ;) Ohne ahnung würde das vermutlich jedem schwer fallen.

    Ich glaube, du weißt ganz genau, dass man einen Namen ganz leicht faken kann.
    Zudem möchte ich nicht, dass du deine Niveaulosigkeit nicht in meinem Thread auslässt. Kümmer dich lieber um dein Hotel & deinen Ruf.

    Ich finde es total Lustig von diesem Wannabe wie er immer mit der PHPSession-ID in das Live kommt. Danke dass du es mir so gezeigt hast, werde es nun gleich vollkommen beheben:-D
    Da ich nun außerdem Zeit gefunden habe werde ich meinen ganzen Nachmittag sowie meinen Abend mit Imagician verbringen das Hotel zu sichern.
    Erster Schritt wird es, alle Sessions zu löschen aus dem PHP-Cache :-). Nächster Schritt wird die HTML-Sicherung ALLER Inputs sowie die MYSQL-Sicherung aller Querys / Inputs. Weitere mir bekannte Bypass-Möglichkeiten werden entfernt.

    Edit: Außerdem habe ich im LIVE sehr wohl ein Sicherheitsupdate reingepatcht. Du kommst wie du siehst nicht mehr über die Cookies "rusername" und "rpassword" rein nh? Kannst du ja gerne versuchen:-). Bei PHP-SessionID wird das selbe gleich gemacht.

    Adieu!

    2 Mal editiert, zuletzt von Kurdt (5. Januar 2014 um 15:59)

    Zitat von Kurdt

    Ich finde es total Lustig von diesem Wannabe wie er immer mit der PHPSession-ID in das Live kommt. Danke dass du es mir so gezeigt hast, werde es nun gleich vollkommen beheben:-D
    Da ich nun außerdem Zeit gefunden habe werde ich meinen ganzen Nachmittag sowie meinen Abend mit Imagician verbringen das Hotel zu sichern.
    Erster Schritt wird es, alle Sessions zu löschen aus dem PHP-Cache :-). Nächster Schritt wird die HTML-Sicherung ALLER Inputs sowie die MYSQL-Sicherung aller Querys / Inputs. Weitere mir bekannte Bypass-Möglichkeiten werden entfernt.

    Edit: Außerdem habe ich im LIVE sehr wohl ein Sicherheitsupdate reingepatcht. Du kommst wie du siehst nicht mehr über die Cookies "rusername" und "rpassword" rein nh? Kannst du ja gerne versuchen:-). Bei PHP-SessionID wird das selbe gleich gemacht.

    Adieu!


    "rusername" und "rpassword" Der liebe StaffJunior weiß doch nichtmal wovon du sprichst, du musst es ihm erklären. Der hatte einfach ein XSS Script eingefügt und Cookies Editor benutzt, mehr nicht. Weshalb es so funktioniert, usw. weiß er nichtmal.

    Zitat von wolff222


    "rusername" und "rpassword" Der liebe StaffJunior weiß doch nichtmal wovon du sprichst, du musst es ihm erklären. Der hatte einfach ein XSS Script eingefügt und Cookies Editor benutzt, mehr nicht. Weshalb es so funktioniert, usw. weiß er nichtmal.

    Ist mir auch bewusst. Ich dachte gar nicht mal daran dass er auch noch die PHPSessionID gezogen hat da er alles per document.cookie gespeichert hat. Naja alles klar, wird auf jeden Fall nach dem Serverumzug von Live-Hotel behoben! Mehrere Sicherheitsupdates folgen demnächst ;-)!

    Totaler Bullshit mit deinem Code, wie wäre es mit einem totalen Reset aller Sessions im PHP-Cache? Daran hast du "Experte" wohl nicht gedacht oder? Woher soll denn ich wissen wie die Scripts von dir aussehen, ich bekam nur von Imagician eine Nachricht, dass andere "Experten" (LOL) sich per Cookies ins Hotel bypassen. Gut, dann hab ich rusername und rpassword gepatcht. Nun, da du, "Experte" uns gesagt hast wie du reinkommst, werde ich das genauso nochmals lösen.

    Und was bringt dir dass, die Cookies etc. zu veröffentlichen? Willst du allen Beweisen wie groß deine Eier sind? Nein Danke, aber Du wirst von mir sicherlich noch hören. Ob dein Computer dafür leiden wird oder deine Webseiten, ist mir überlassen. Evtl. muss ich an einigen Sozialen Netzwerken wo du angemeldet bist mit deinen "Daten" etwas anstellen damit du lernst, dass du ein richtig peinlicher Pflegefall bist.

    Und wirklich, ich verstehe nicht was daran eine große Leistung ist sich im Hotel mit einem Admin-Account ein zu loggen (NICHT MAL EINE XSS HABT IHR GEHABT!), dort dann im Housekeeping unter News-bearbeiten einen Cookie-Stealer einzubinden im Titel der News und damit rum zu prahlen. Nein ehrlich, sowas ist keine große Leistung.

    Wenn du PHP-Experte die Eier dazu hast, dann schreib ein eigenes CMS bitte. Ich würde so gern dein Hotel mal so auseinander nehmen, aber dan mit einer dezenten SQL-Attacke deinen ganzen Server vernichten anhand eines selbstgeschriebenen Shells.

    Später sieht man sich im Live-Hotel, wenn nichts mehr möglich ist zu hacken ;-P. Experte..

    Zitat

    Einziger Nachteil natürlich das sich die meisten jeden Tag neu einloggen müssen.


    => Alle Sessions löschen im PHP-Cache und fertig, jeder loggt sich ein einziges mal neu ein und das wars.

    PHP
    ini_set("session.gc_max_lifetime", 0);
ini_set("session.gc_probability", 1);
ini_set("session.gc_divisor", 1);

    Somit wird die Lifetime für jede Session im Cache auf 0 gesetzt, alle Sessions sind absofort gelöscht, forced deswegen einen neulogin im CMS, da keine Session für die Authentifizierung vorhanden ist.

    Kannst du so natürlich machen ;) nur weshalb habt ihrs davor nicht gemacht und weshalb heult ihr dann rum das sie jeder per hand löschen soll?
    Ich würde auch eher die IP SESSION funktion nutzen und mal im ernst? Ob man jetzt die Version die ich nutzt oder deine würde wohl auch keinen unterschied machen. Aber finde ich ja schön das du nicht blöd dastehen willlst und wenigstens etwas dazu sagst ;)
    Ein wunder nur das davor keiner auf diese idee gekommen ist.

    Ich habe übriegens noch kein eigenes Script rausgebracht weil ich leider beruflich zeitlich eingeschränkt bin.
    Nur so am rande... SQL Injection mit ner Shell ;) WOW, selbst schreiben? Nimm doch gleich Havij wenn dus nicht per Hand kannst.
    SQLMap ist jedoch besser :)

    so good bye

    Zitat von StaffJunior

    Kannst du so natürlich machen ;) nur weshalb habt ihrs davor nicht gemacht und weshalb heult ihr dann rum das sie jeder per hand löschen soll?
    Ich würde auch eher die IP SESSION funktion nutzen und mal im ernst? Ob man jetzt die Version die ich nutzt oder deine würde wohl auch keinen unterschied machen. Aber finde ich ja schön das du nicht blöd dastehen willlst und wenigstens etwas dazu sagst ;)
    Ein wunder nur das davor keiner auf diese idee gekommen ist.

    Ich habe übriegens noch kein eigenes Script rausgebracht weil ich leider beruflich zeitlich eingeschränkt bin.
    Nur so am rande... SQL Injection mit ner Shell ;) WOW, selbst schreiben? Nimm doch gleich Havij wenn dus nicht per Hand kannst.
    SQLMap ist jedoch besser :)

    so good bye

    Ich versteh nicht was du mir jetzt mit deinem letzten Satz erklären willst, aber mich interessiert es nen Feuchten Dreck ob ich HAVIJ, SQLMap oder sonst ne Scheiße nutze.. btw.: exec() ;-P

    Nun b2t:

    Dein Code geht natürlich tief in die Roots der Sessions rein, meiner ist aber natürlich sauberer und wohl, wie du auch sicherlich zugeben musst, besser und schlauer oder? ;-P Ich weiß ganz genau was ich sage und genau das werde ich im Live auch anwenden damit es kein drittes mal geschehen wird. Imagician hat mir keinen Server-Zugriff angetraut, deshalb habe ich alles sehr schlecht unter Kontrolle.

    Trotzdem ist das recht Nett für einen "hacker" *hust* die Lücke (?) preis zu geben ;-P!

    Zitat von bummelhummel

    Ich stell mir die Fragen, wie Hobbielos doch einige Leute sein müsse. Ist der Neid aufs Live so groß?

    Jeder hackt mal große Hotels. Es ist der Drang nach Usern, ich kenne das Gefühl. Ich hab damals das Holo.ws gehacked.. ich weiß, es war eine sehr Dumme Idee von mir deshalb habe ich Ihnen auch Angeboten, die Sicherheitslücke zu beheben. Na gut, so wars genauso fürs Live-Hotel, er hat sie gehacked, wollte User anwerben. Was total Sinnlos ist, denn kein User verlässt so schnell ein Retro :-D.

    Aber: Ich habe Imagician meine Hilfe vollkommen Angeboten. Ich mache sowas beruflich in Richtung Sicherheitsoptimierungen und bin darin erfahren. Sobald ich Server-Zugriff habe werde ich im Hintergrund-Ablauf von Live sehr viel verändern, was optisch rein gar nicht sichtbar sein wird! Ich möchte dieses Hotel auffrischen und richtig hochhalten mit meinen Kenntnissen. Am Emulator werde ich genauso schreiben sowie Funktionen im CMS hinzufügen.

    Ich finds lustig, wie sie Stammuser, wie auch mich, hacken um zu werben.
    Was habt ihr davon?
    Jeder weiß sofort, dass wir gehackt worden sind. Unsere Accounts bekommen
    einen Sicherheitsbann und fertig.

    Ich versteh nicht, wie man so hobbylos sein kann, Leute zu hacken.
    Ich hätte nicht mal lust meine Zeit für sowas unnötiges zu investieren.
    Und das alles für 10 User am Tag mehr, in seinem eigenen Hotel
    erbärmlich.


    1€-Hobby-Hacker 4 The win 8)


    Hast du bisschen Probleme damit? WIR HABENS DOCH ALLE VERSTANDEN. Du brauchst es nicht 10000mal zu wiederholen, Danke

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!

Benutzerkonto erstellen Anmelden