Ich sehe schon Live probiert bei uns garnichts
SOviel zu dem Thema -> Zu schade! Neiin, du unfähig.
Ich sehe schon Live probiert bei uns garnichts
SOviel zu dem Thema -> Zu schade! Neiin, du unfähig.
Ich sehe schon Live probiert bei uns garnichts
SOviel zu dem Thema -> Zu schade! Neiin, du unfähig.
Bald vergeht euch das Lachen, dass garantiere ich euch schon mal.
Kack drauf, Live hat's verdient und StaffJunior ist genaus ein Kid, der denkt er kann was, 2 Noob vereint. Imagician & StaffJunior sollten mal ein Hotel leiten, HAHA.
Kack drauf, Live hat's verdient und StaffJunior ist genaus ein Kid, der denkt er kann was, 2 Noob vereint. Imagician & StaffJunior sollten mal ein Hotel leiten, HAHA.
Danke,
aber nein ich denke es nciht nur ich weiss es auch
Danke trotzdem!
Danke,
aber nein ich denke es nciht nur ich weiss es auchDanke trotzdem!
Ja, was kannst du? Du kannst ein Tool benutzen, was hier release wurde, um die Cookies zu stealen? Du bist hard, mein Freund. Du feierst so hart, dass du ein 200 User (Live-Hotel) durch schwache Methoden gehackt hast, indem du eine Datei verschickst, apropo.. du warst das doch garnicht?! Du hast nur zugeguckt. Hacken ist da was für mich etwas anderes, ohne die Staffs reinzulegen. Andere Leute haben HabboST gehackt und feiern nicht so wie du jetzt, ein 200 User Hotel 'gehackt' hast, von hacken kann man eig. garnicht sprechen, dass ist das gleiche wie wenn ich das Passwort von Optimus fragen würde und dann Hotelalerts gemacht hätte, lol.
Mir fehlen die Worte, du wiedersprichst dich sowieso, ich sag dazu nur:
"Lasst Luminia daraus. Ich hab ihm nur die Rechte gegeben und er hat im Hotel gespamt."
In meinem ersten Post direkt gesagt das ich Ihm die Rechte gegeben hab. Somit war ich der der über den Zugriff aufs Hotel ihm die Rechte gegeben hab.
Siehe da schonwieder hast du nur scheiße zu vermelden.
Im übrigen finde ich es lustig das du hier ein Bild vom angeblichen "Luminia" postest wenn du dich mit mir anlegest.
Ist okay das du mir nicht folgen kannst Ohne ahnung würde das vermutlich jedem schwer fallen.
Ich glaube, du weißt ganz genau, dass man einen Namen ganz leicht faken kann.
Zudem möchte ich nicht, dass du deine Niveaulosigkeit nicht in meinem Thread auslässt. Kümmer dich lieber um dein Hotel & deinen Ruf.
Ich finde es total Lustig von diesem Wannabe wie er immer mit der PHPSession-ID in das Live kommt. Danke dass du es mir so gezeigt hast, werde es nun gleich vollkommen beheben:-D
Da ich nun außerdem Zeit gefunden habe werde ich meinen ganzen Nachmittag sowie meinen Abend mit Imagician verbringen das Hotel zu sichern.
Erster Schritt wird es, alle Sessions zu löschen aus dem PHP-Cache :-). Nächster Schritt wird die HTML-Sicherung ALLER Inputs sowie die MYSQL-Sicherung aller Querys / Inputs. Weitere mir bekannte Bypass-Möglichkeiten werden entfernt.
Edit: Außerdem habe ich im LIVE sehr wohl ein Sicherheitsupdate reingepatcht. Du kommst wie du siehst nicht mehr über die Cookies "rusername" und "rpassword" rein nh? Kannst du ja gerne versuchen:-). Bei PHP-SessionID wird das selbe gleich gemacht.
Adieu!
Ich finde es total Lustig von diesem Wannabe wie er immer mit der PHPSession-ID in das Live kommt. Danke dass du es mir so gezeigt hast, werde es nun gleich vollkommen beheben:-D
Da ich nun außerdem Zeit gefunden habe werde ich meinen ganzen Nachmittag sowie meinen Abend mit Imagician verbringen das Hotel zu sichern.
Erster Schritt wird es, alle Sessions zu löschen aus dem PHP-Cache :-). Nächster Schritt wird die HTML-Sicherung ALLER Inputs sowie die MYSQL-Sicherung aller Querys / Inputs. Weitere mir bekannte Bypass-Möglichkeiten werden entfernt.Edit: Außerdem habe ich im LIVE sehr wohl ein Sicherheitsupdate reingepatcht. Du kommst wie du siehst nicht mehr über die Cookies "rusername" und "rpassword" rein nh? Kannst du ja gerne versuchen:-). Bei PHP-SessionID wird das selbe gleich gemacht.
Adieu!
"rusername" und "rpassword" Der liebe StaffJunior weiß doch nichtmal wovon du sprichst, du musst es ihm erklären. Der hatte einfach ein XSS Script eingefügt und Cookies Editor benutzt, mehr nicht. Weshalb es so funktioniert, usw. weiß er nichtmal.
"rusername" und "rpassword" Der liebe StaffJunior weiß doch nichtmal wovon du sprichst, du musst es ihm erklären. Der hatte einfach ein XSS Script eingefügt und Cookies Editor benutzt, mehr nicht. Weshalb es so funktioniert, usw. weiß er nichtmal.
Ist mir auch bewusst. Ich dachte gar nicht mal daran dass er auch noch die PHPSessionID gezogen hat da er alles per document.cookie gespeichert hat. Naja alles klar, wird auf jeden Fall nach dem Serverumzug von Live-Hotel behoben! Mehrere Sicherheitsupdates folgen demnächst ;-)!
StaffJunior: das man sich dabei noch freut ein 200 Userhotel zu ,,hacken" ist armselig, die Hacker von Habbo.st haben sich schließlich auch nicht so dermaßen gefreut wie du.
Du kopierst exakt meine Worte, was gesagt wurde, #Posthunter?
Alles anzeigenWie du sicher bemerkt hast ist unser Angriff beendet wodurch wir euch natürlich gerne zeigen was wir gestealt haben.
An dem Script hättet ihr sehen müssen was wir gezogen haben.Das wir die Session ID gezogen haben sollte dir als alter experte ebenfalls klar gewesen sein weil wir somit den volltzugriff ins HK usw bekommen ohne ein einziges Passwort zu kennen.
Aber kein problem jeder lernt dazuFinde es immernoch lustig wie es manche noch immer versuchen uns blöd dazustellen.
Unserere schachzüge haben gereicht um euch zweimal hintereinander platt zu machen.Es ist auch scheiß egal wie simple die methode ist solang sie erfolg zeigt und das könnt ihr wohl nicht abstreiten.
Ihr beleidigt eure Retros ja praktisch selber wenn ihr meint das es so easy war Sollte so einem Retro wohl nicht passieren, oder?
Es gibt in gewissen Szenen einen spruch "Mit einfachsten mitteln viel rausholen" also habe ich euch mit einfachsten Mitteln gefickt
Schönen Tag noch ich verabschiede mich hiermit aus diesem Thread aufgrund der ganzen Wannabe experten.
Falls einige noch rumprobieren möchten, hier die Cookies.
Schönen Tag noch
EDIT:
Falls ihr den Leak mit den Session IDs beheben wollt setzt einfach eine Session
$_SESSION['newsession'] = true;
Wenn die Session false sein sollte wird man automatisch ausgeloggt und muss sich neu einloggen. Beim reloggin bekommt man dann die $_SESSION['newsession'] = true; zugeordnert und zack sind alle SESSIONS die alt sind ungültig.
Kein Problem für den Tipp Helfe doch gerne
Wenn ihrs für die Zukunft sicherer haben wollt dann Speichert ihr die SESSION ID in ner Tabelle mit der zugehörigen IP sobald sich dann ne andere IP mit der Session einloggt wird man ausgeloggt. -> Done.Einziger Nachteil natürlich das sich die meisten jeden Tag neu einloggen müssen.
Kein Problem für den Tipp aber hey ich kann ja nicht Spastis
Totaler Bullshit mit deinem Code, wie wäre es mit einem totalen Reset aller Sessions im PHP-Cache? Daran hast du "Experte" wohl nicht gedacht oder? Woher soll denn ich wissen wie die Scripts von dir aussehen, ich bekam nur von Imagician eine Nachricht, dass andere "Experten" (LOL) sich per Cookies ins Hotel bypassen. Gut, dann hab ich rusername und rpassword gepatcht. Nun, da du, "Experte" uns gesagt hast wie du reinkommst, werde ich das genauso nochmals lösen.
Und was bringt dir dass, die Cookies etc. zu veröffentlichen? Willst du allen Beweisen wie groß deine Eier sind? Nein Danke, aber Du wirst von mir sicherlich noch hören. Ob dein Computer dafür leiden wird oder deine Webseiten, ist mir überlassen. Evtl. muss ich an einigen Sozialen Netzwerken wo du angemeldet bist mit deinen "Daten" etwas anstellen damit du lernst, dass du ein richtig peinlicher Pflegefall bist.
Und wirklich, ich verstehe nicht was daran eine große Leistung ist sich im Hotel mit einem Admin-Account ein zu loggen (NICHT MAL EINE XSS HABT IHR GEHABT!), dort dann im Housekeeping unter News-bearbeiten einen Cookie-Stealer einzubinden im Titel der News und damit rum zu prahlen. Nein ehrlich, sowas ist keine große Leistung.
Wenn du PHP-Experte die Eier dazu hast, dann schreib ein eigenes CMS bitte. Ich würde so gern dein Hotel mal so auseinander nehmen, aber dan mit einer dezenten SQL-Attacke deinen ganzen Server vernichten anhand eines selbstgeschriebenen Shells.
Später sieht man sich im Live-Hotel, wenn nichts mehr möglich ist zu hacken ;-P. Experte..
ZitatEinziger Nachteil natürlich das sich die meisten jeden Tag neu einloggen müssen.
=> Alle Sessions löschen im PHP-Cache und fertig, jeder loggt sich ein einziges mal neu ein und das wars.
ini_set("session.gc_max_lifetime", 0);
ini_set("session.gc_probability", 1);
ini_set("session.gc_divisor", 1);
Somit wird die Lifetime für jede Session im Cache auf 0 gesetzt, alle Sessions sind absofort gelöscht, forced deswegen einen neulogin im CMS, da keine Session für die Authentifizierung vorhanden ist.
Kannst du so natürlich machen nur weshalb habt ihrs davor nicht gemacht und weshalb heult ihr dann rum das sie jeder per hand löschen soll?
Ich würde auch eher die IP SESSION funktion nutzen und mal im ernst? Ob man jetzt die Version die ich nutzt oder deine würde wohl auch keinen unterschied machen. Aber finde ich ja schön das du nicht blöd dastehen willlst und wenigstens etwas dazu sagst
Ein wunder nur das davor keiner auf diese idee gekommen ist.
Ich habe übriegens noch kein eigenes Script rausgebracht weil ich leider beruflich zeitlich eingeschränkt bin.
Nur so am rande... SQL Injection mit ner Shell WOW, selbst schreiben? Nimm doch gleich Havij wenn dus nicht per Hand kannst.
SQLMap ist jedoch besser
so good bye
Kannst du so natürlich machen nur weshalb habt ihrs davor nicht gemacht und weshalb heult ihr dann rum das sie jeder per hand löschen soll?
Ich würde auch eher die IP SESSION funktion nutzen und mal im ernst? Ob man jetzt die Version die ich nutzt oder deine würde wohl auch keinen unterschied machen. Aber finde ich ja schön das du nicht blöd dastehen willlst und wenigstens etwas dazu sagst
Ein wunder nur das davor keiner auf diese idee gekommen ist.Ich habe übriegens noch kein eigenes Script rausgebracht weil ich leider beruflich zeitlich eingeschränkt bin.
Nur so am rande... SQL Injection mit ner Shell WOW, selbst schreiben? Nimm doch gleich Havij wenn dus nicht per Hand kannst.
SQLMap ist jedoch besserso good bye
Ich versteh nicht was du mir jetzt mit deinem letzten Satz erklären willst, aber mich interessiert es nen Feuchten Dreck ob ich HAVIJ, SQLMap oder sonst ne Scheiße nutze.. btw.: exec() ;-P
Nun b2t:
Dein Code geht natürlich tief in die Roots der Sessions rein, meiner ist aber natürlich sauberer und wohl, wie du auch sicherlich zugeben musst, besser und schlauer oder? ;-P Ich weiß ganz genau was ich sage und genau das werde ich im Live auch anwenden damit es kein drittes mal geschehen wird. Imagician hat mir keinen Server-Zugriff angetraut, deshalb habe ich alles sehr schlecht unter Kontrolle.
Trotzdem ist das recht Nett für einen "hacker" *hust* die Lücke (?) preis zu geben ;-P!
Ich stell mir die Fragen, wie Hobbielos doch einige Leute sein müsse. Ist der Neid aufs Live so groß?
Ich stell mir die Fragen, wie Hobbielos doch einige Leute sein müsse. Ist der Neid aufs Live so groß?
Jeder hackt mal große Hotels. Es ist der Drang nach Usern, ich kenne das Gefühl. Ich hab damals das Holo.ws gehacked.. ich weiß, es war eine sehr Dumme Idee von mir deshalb habe ich Ihnen auch Angeboten, die Sicherheitslücke zu beheben. Na gut, so wars genauso fürs Live-Hotel, er hat sie gehacked, wollte User anwerben. Was total Sinnlos ist, denn kein User verlässt so schnell ein Retro :-D.
Aber: Ich habe Imagician meine Hilfe vollkommen Angeboten. Ich mache sowas beruflich in Richtung Sicherheitsoptimierungen und bin darin erfahren. Sobald ich Server-Zugriff habe werde ich im Hintergrund-Ablauf von Live sehr viel verändern, was optisch rein gar nicht sichtbar sein wird! Ich möchte dieses Hotel auffrischen und richtig hochhalten mit meinen Kenntnissen. Am Emulator werde ich genauso schreiben sowie Funktionen im CMS hinzufügen.
Ich gehöre ja zu den Stammusern und war wohl eine der ersten, wo sie versucht haben die Möbel zu "klaun"
Ich bin gespannt auf das was kommen wird. Und freue mich natürlich.
Imagician wechselt derzeit den Server. Vermutlich sind wir heute noch online.
Ich finds lustig, wie sie Stammuser, wie auch mich, hacken um zu werben.
Was habt ihr davon?
Jeder weiß sofort, dass wir gehackt worden sind. Unsere Accounts bekommen
einen Sicherheitsbann und fertig.
Ich versteh nicht, wie man so hobbylos sein kann, Leute zu hacken.
Ich hätte nicht mal lust meine Zeit für sowas unnötiges zu investieren.
Und das alles für 10 User am Tag mehr, in seinem eigenen Hotel
erbärmlich.
1€-Hobby-Hacker 4 The win
Alles anzeigenIch finds lustig, wie sie Stammuser, wie auch mich, hacken um zu werben.
Was habt ihr davon?
Jeder weiß sofort, dass wir gehackt worden sind. Unsere Accounts bekommen
einen Sicherheitsbann und fertig.Ich versteh nicht, wie man so hobbylos sein kann, Leute zu hacken.
Ich hätte nicht mal lust meine Zeit für sowas unnötiges zu investieren.
Und das alles für 10 User am Tag mehr, in seinem eigenen Hotel
erbärmlich.
1€-Hobby-Hacker 4 The win
Hast du bisschen Probleme damit? WIR HABENS DOCH ALLE VERSTANDEN. Du brauchst es nicht 10000mal zu wiederholen, Danke
Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!