Beiträge von HABBO.HN.HABBO.HN

Bist ja mal richtig lächerlich mit diesem Thread und deinem Fanclub. Aber nein, tu mir das bitte nicht an, sonst kommt die zweite Melissa.

Wieso schlägst Du deine Schüler nicht einfach? Naja, mach ein jQuery Script heimlich auf die Seite welches den Footer jedes mal beim Seitenaufruf hinzufügt.. z.B. $(document).ready(function () { alert("Das ist meine Seite du hurn.."); });

k. A. viel Gück ;-P

Zitat von Phenomic

Sorry, dass ich störe, jedoch ist er JNike

Danke, ja ich bin JayNike und ich hab mir den Spaß mal gegönnt Lol. Sei froh dass ich nichts veröffentlicht, geloggt, geändert oder angestellt habe..

Wie wäre es wenn ihr einfach die Querys Cached? Dann reicht auch ein normaler SQL Server vollkommen aus ;-P. Oder einfach das CMS in LUA schreiben und additional noch ein Caching-System einbinden, besser kann es nicht gehen.

Naja, ich habe von Redtube gelesen..

Zitat von Finn

Es tut mir leid und es wird nicht wieder vorkommen!
Ich bin Test-Moderator und Fehler sind Menschlich.

Der erste Moderator der 12 Jahre alt ist anscheinend

Du musst uns erstmals erklären was du genau machen möchtest.. evtl. kann man dir dann auch Helfen.

Damals hab ich rein aus Zufall das Habbo Hotel entdeckt, da auf spin.de ein Freund einmal einen Link geteilt hat über das Habbo Hotel. Gut, es gefiel mir optisch sofort auf den ersten Blick also habe ich mich auch angemeldet und gespielt. Es hat mich natürlich genervt keine Taler zu haben deshalb kaufte ich mir einige Taler so bekam ich immer und immer wieder den Drang danach das Handy meiner Mutter zu nehmen, mich im Klo zu verstecken und Habbo Taler zu kaufen. Irgendwann bemerkte sie es und ich bekam ärger, super Sache, ich wurde des öfteren im Habbo gebannt. Zuerst als "KrOaTiScH", dann als "WEDLAS".. super Namen oder? Einfallsreich ohne Ende! Dann kam ich auch irgendwie, rein aus Zufall in die Retro Szene, ich hab damals einen alten Holograph-Emulator Tutorial auf Ragezone.com gesehen und habe mir das ganze natürlich gegeben. Es kam der Tag an dem ich dann mithilfe von Meik (German-Motel damals, großes Danke an Dich!) mein erstes Retro Hotel erschuf.

Nach und nach lernte ich das Programmieren, ganz im Gegenteil zu Steve, durch die schlechten Retro-Scripts. Ich änderte Strings, erstellte neue Kommandos oder importierte selbsterstellte (.dcr damals) Möbel.

Damals, wo ich noch keine einzige Programmiersprache "beherrschte", habe ich den UberEmulator als erste Person der ganzen Szene erhalten durch Jairo (many thanks to you!). So öffnete ich das erste Deutsche R36 (i guess..) Retro mit der Beta so zu sagen :-D! Sofort am ersten Tag kamen 80 User, am nächsten 150 bis die Enttäuschung zu sehen war, ich erinnere mich sehr an diesen Tag: "jnike jemand hat dein emu released", gut.. geschockt nach dem Aufstehen schaute ich sofort auf Ragezone und jemand hat den UberEmulator veröffentlicht!

Es wirkte wie ein Schlag ins Gesicht!

Und heute.. heute bin ich Beruflich als Fachinformatiker für Anwenudngsentwicklung in einer Firma mit 2500 Mitarbeitern aktiv, beherrsche sehr viele Sprachen* und finde Programmieren ist und bleibt mein lebenlanges Hobby.

* = C#, VB .NET, JAVA (Hauptsächlich nur I/O und Applet aus Beruflichen Gründen), jQuery, HTML/5, CSS/3, XNA Framework, LUA (Webbasierende Entwicklung in LUA aus beruflichen Gründen/LUAROCKS/LUAFORWINDOWS/LUA51), NODE.JS, {LESS} und {DART}, teilweise Objektiv C für iPhone Entwicklung in XCode

Viele der Sprachen kamen natürlich aus beruflichen Gründen dringend dazu. Und wer mir jetzt wirklich nicht glaubt, dass ich diese Sprachen zum Großteil Beherrsche, soll mir das lieber in Skype schreiben statt hier;-)

mfg...

Prozessor: Intel Hexa-Core Xeon E5-2620 12 Core CPU
Arbeitsspeicher (RAM): 64 GB Ram
Netzwerkanbindung: 10 GBit
Server Standort: Niederlande
DDoS Protection: Ja

Naja.. wer braucht sowas jetzt? Meine Server haben maximal 1 GB RAM und nen i3, trotzdem kann ich mehr User Online halten als ihr ;-P Wer sich mit Performance und Caching auskennt wird niemals so viel gebrauchen..
Zum CMS: Wieso wirbt ihr für ne Registration mit einer PS4? Sowas lustiges hab ich wirklich noch nie gesehen. Die Registration lässt einen fehlerhaften Eindruck bei mir. Die ME ist langweilig und dass erste dass mir in die Augen sticht ist die Werbung. Profil Einstellungen sind nichts besonderes. Community ist genauso Leer. CEO / CTO / CFO für ne Mitarbeiter-Liste in nem Retro ist jetzt wirklich übertrieben, trotzdem schaut die Mitarbeiter-Liste ziemlch fehlerhaft aus. Und ich glaube kaum dass welche Habbo Taler in einem Retro kaufen werden, wenn man davon eigentlich gar nicht profitieren kann;-)

Ganze 4/10 Sterne, rein dafür: Dass CMS ist zwar relativ sauber gehalte und optisch ganz okay, aber sehr Leer und beinhaltet natürlich Fehler (@Mitarbeiter-Liste, warum sehe ich keine Avatare?). Sonst ist es für mich kein besonderes Retro. Negativ ist, dass ihr für Habbo-Taler Geld verlangt sowie die Werbung oben platziert, schaut ihr nur auf die Finanzielle Quote?

Trotzdem viel Glück, werdet ihr für den Anfang selbstverständlich auch gebrauchen.:-D

Ich würde so viele Mädchen bumsen wie möglich, what else

Mir ist es bewusst dass sowas sofort behoben werden sollte. Nun zu zwei Faktoren welche ich jetzt Klarstellen möchte:

1. DU hast wirklich keine Großartige Leistung erbracht, und jeder Nutzer aus Retrotown IST SICHERLICH in der Lage im Cookie Editor die PHPSESSID zu ändern und sich zu reauthentifizieren.
2. Ich konnte die Cookies NICHT komplett beheben, da ich keinen Zugriff durchgehend auf das Live-System hatte. Imagician hat es mir ab und zu nur für 10 Minuten gewährleistet.

Zitat von bummelhummel

Ich stell mir die Fragen, wie Hobbielos doch einige Leute sein müsse. Ist der Neid aufs Live so groß?

Jeder hackt mal große Hotels. Es ist der Drang nach Usern, ich kenne das Gefühl. Ich hab damals das Holo.ws gehacked.. ich weiß, es war eine sehr Dumme Idee von mir deshalb habe ich Ihnen auch Angeboten, die Sicherheitslücke zu beheben. Na gut, so wars genauso fürs Live-Hotel, er hat sie gehacked, wollte User anwerben. Was total Sinnlos ist, denn kein User verlässt so schnell ein Retro :-D.

Aber: Ich habe Imagician meine Hilfe vollkommen Angeboten. Ich mache sowas beruflich in Richtung Sicherheitsoptimierungen und bin darin erfahren. Sobald ich Server-Zugriff habe werde ich im Hintergrund-Ablauf von Live sehr viel verändern, was optisch rein gar nicht sichtbar sein wird! Ich möchte dieses Hotel auffrischen und richtig hochhalten mit meinen Kenntnissen. Am Emulator werde ich genauso schreiben sowie Funktionen im CMS hinzufügen.

Zitat von StaffJunior

Kannst du so natürlich machen nur weshalb habt ihrs davor nicht gemacht und weshalb heult ihr dann rum das sie jeder per hand löschen soll?
Ich würde auch eher die IP SESSION funktion nutzen und mal im ernst? Ob man jetzt die Version die ich nutzt oder deine würde wohl auch keinen unterschied machen. Aber finde ich ja schön das du nicht blöd dastehen willlst und wenigstens etwas dazu sagst
Ein wunder nur das davor keiner auf diese idee gekommen ist.

Ich habe übriegens noch kein eigenes Script rausgebracht weil ich leider beruflich zeitlich eingeschränkt bin.
Nur so am rande... SQL Injection mit ner Shell WOW, selbst schreiben? Nimm doch gleich Havij wenn dus nicht per Hand kannst.
SQLMap ist jedoch besser

so good bye

Ich versteh nicht was du mir jetzt mit deinem letzten Satz erklären willst, aber mich interessiert es nen Feuchten Dreck ob ich HAVIJ, SQLMap oder sonst ne Scheiße nutze.. btw.: exec() ;-P

Nun b2t:

Dein Code geht natürlich tief in die Roots der Sessions rein, meiner ist aber natürlich sauberer und wohl, wie du auch sicherlich zugeben musst, besser und schlauer oder? ;-P Ich weiß ganz genau was ich sage und genau das werde ich im Live auch anwenden damit es kein drittes mal geschehen wird. Imagician hat mir keinen Server-Zugriff angetraut, deshalb habe ich alles sehr schlecht unter Kontrolle.

Trotzdem ist das recht Nett für einen "hacker" *hust* die Lücke (?) preis zu geben ;-P!

Zitat von StaffJunior

Wie du sicher bemerkt hast ist unser Angriff beendet wodurch wir euch natürlich gerne zeigen was wir gestealt haben.
An dem Script hättet ihr sehen müssen was wir gezogen haben.

Das wir die Session ID gezogen haben sollte dir als alter experte ebenfalls klar gewesen sein weil wir somit den volltzugriff ins HK usw bekommen ohne ein einziges Passwort zu kennen.
Aber kein problem jeder lernt dazu

Finde es immernoch lustig wie es manche noch immer versuchen uns blöd dazustellen.
Unserere schachzüge haben gereicht um euch zweimal hintereinander platt zu machen.

Es ist auch scheiß egal wie simple die methode ist solang sie erfolg zeigt und das könnt ihr wohl nicht abstreiten.
Ihr beleidigt eure Retros ja praktisch selber wenn ihr meint das es so easy war Sollte so einem Retro wohl nicht passieren, oder?
Es gibt in gewissen Szenen einen spruch "Mit einfachsten mitteln viel rausholen" also habe ich euch mit einfachsten Mitteln gefickt

Schönen Tag noch ich verabschiede mich hiermit aus diesem Thread aufgrund der ganzen Wannabe experten.

Falls einige noch rumprobieren möchten, hier die Cookies.

Live Hotel - Pastebin.com

Schönen Tag noch

EDIT:

Falls ihr den Leak mit den Session IDs beheben wollt setzt einfach eine Session

$_SESSION['newsession'] = true;

Wenn die Session false sein sollte wird man automatisch ausgeloggt und muss sich neu einloggen. Beim reloggin bekommt man dann die $_SESSION['newsession'] = true; zugeordnert und zack sind alle SESSIONS die alt sind ungültig.

Kein Problem für den Tipp Helfe doch gerne  
Wenn ihrs für die Zukunft sicherer haben wollt dann Speichert ihr die SESSION ID in ner Tabelle mit der zugehörigen IP sobald sich dann ne andere IP mit der Session einloggt wird man ausgeloggt. -> Done.

Einziger Nachteil natürlich das sich die meisten jeden Tag neu einloggen müssen.

Kein Problem für den Tipp aber hey ich kann ja nicht Spastis

Alles anzeigen

Totaler Bullshit mit deinem Code, wie wäre es mit einem totalen Reset aller Sessions im PHP-Cache? Daran hast du "Experte" wohl nicht gedacht oder? Woher soll denn ich wissen wie die Scripts von dir aussehen, ich bekam nur von Imagician eine Nachricht, dass andere "Experten" (LOL) sich per Cookies ins Hotel bypassen. Gut, dann hab ich rusername und rpassword gepatcht. Nun, da du, "Experte" uns gesagt hast wie du reinkommst, werde ich das genauso nochmals lösen.

Und was bringt dir dass, die Cookies etc. zu veröffentlichen? Willst du allen Beweisen wie groß deine Eier sind? Nein Danke, aber Du wirst von mir sicherlich noch hören. Ob dein Computer dafür leiden wird oder deine Webseiten, ist mir überlassen. Evtl. muss ich an einigen Sozialen Netzwerken wo du angemeldet bist mit deinen "Daten" etwas anstellen damit du lernst, dass du ein richtig peinlicher Pflegefall bist.

Und wirklich, ich verstehe nicht was daran eine große Leistung ist sich im Hotel mit einem Admin-Account ein zu loggen (NICHT MAL EINE XSS HABT IHR GEHABT!), dort dann im Housekeeping unter News-bearbeiten einen Cookie-Stealer einzubinden im Titel der News und damit rum zu prahlen. Nein ehrlich, sowas ist keine große Leistung.

Wenn du PHP-Experte die Eier dazu hast, dann schreib ein eigenes CMS bitte. Ich würde so gern dein Hotel mal so auseinander nehmen, aber dan mit einer dezenten SQL-Attacke deinen ganzen Server vernichten anhand eines selbstgeschriebenen Shells.

Später sieht man sich im Live-Hotel, wenn nichts mehr möglich ist zu hacken ;-P. Experte..

Zitat

Einziger Nachteil natürlich das sich die meisten jeden Tag neu einloggen müssen.

=> Alle Sessions löschen im PHP-Cache und fertig, jeder loggt sich ein einziges mal neu ein und das wars.

ini_set("session.gc_max_lifetime", 0);
ini_set("session.gc_probability", 1);
ini_set("session.gc_divisor", 1);

Somit wird die Lifetime für jede Session im Cache auf 0 gesetzt, alle Sessions sind absofort gelöscht, forced deswegen einen neulogin im CMS, da keine Session für die Authentifizierung vorhanden ist.

Zitat von wolff222

"rusername" und "rpassword" Der liebe StaffJunior weiß doch nichtmal wovon du sprichst, du musst es ihm erklären. Der hatte einfach ein XSS Script eingefügt und Cookies Editor benutzt, mehr nicht. Weshalb es so funktioniert, usw. weiß er nichtmal.

Ist mir auch bewusst. Ich dachte gar nicht mal daran dass er auch noch die PHPSessionID gezogen hat da er alles per document.cookie gespeichert hat. Naja alles klar, wird auf jeden Fall nach dem Serverumzug von Live-Hotel behoben! Mehrere Sicherheitsupdates folgen demnächst ;-)!

Ich finde es total Lustig von diesem Wannabe wie er immer mit der PHPSession-ID in das Live kommt. Danke dass du es mir so gezeigt hast, werde es nun gleich vollkommen beheben:-D
Da ich nun außerdem Zeit gefunden habe werde ich meinen ganzen Nachmittag sowie meinen Abend mit Imagician verbringen das Hotel zu sichern.
Erster Schritt wird es, alle Sessions zu löschen aus dem PHP-Cache :-). Nächster Schritt wird die HTML-Sicherung ALLER Inputs sowie die MYSQL-Sicherung aller Querys / Inputs. Weitere mir bekannte Bypass-Möglichkeiten werden entfernt.

Edit: Außerdem habe ich im LIVE sehr wohl ein Sicherheitsupdate reingepatcht. Du kommst wie du siehst nicht mehr über die Cookies "rusername" und "rpassword" rein nh? Kannst du ja gerne versuchen:-). Bei PHP-SessionID wird das selbe gleich gemacht.

Adieu!

Wenn man den Eltern das Geld aus der Tasche zieht nur für ein Scheiß Spiel wie Habbo.. ist man JayNike 2! Als ich 11/12 war und Habbo noch richtig in ihrer v18 Phase war.. hab ich immer heimlich das Handy meiner Mutter ins Klo genommen hab ich eingesperrt und Taler gekauft.. wurde auch paar mal Erwischt aber halb so schlimm. Damals gabs sowas wie PSC im Habbo noch nicht soweit ich weiß. War schon mal der Dummen Überlegung ob ich die Kreditkarte meines Vaters dort eintippe.. eieiei, gut dass man älter wird!

Genau deswegen zahle ich zurzeit meiner Mutter alles nach, ob es Geschenke jeden Monat sind oder sonstige Kleinigkeiten, ich habe ihr meine Gottverdammte Habbo Kindheit zu verdanken und darauf bin ich auch wirklich Stolz, denn ohne Habbo, wäre ich nie in der Retroszene aktiv, ohne die Retroszene könnte ich nie Programmieren und ohne dass ich Programmieren kann, würde ich nie auf die Berufsrichtung Fachinformatiker (AE) gekommen.. evtl. wäre ich jetzt Elektroniker oder sonst für ne Scheiße, aber ich bin wirklich froh drauf wie weit mich Gott gebracht hat.

Zitat von RavenMT

Erst lesen dann posten.

@Kurdt: Wir müssen dir absolut nichts beweißen. Einfach mal frech eine Forderung stellen und dazu noch eine minimale Frist stellen.
Aber Hater sind am Ende des Tages die treusten Fans, wir sehen uns dann im Hotel und dort kannst du dir dann unseren Emulator ganz genau anschauen.

Morgen folgen wie schon 3x erwähnt neue Informationen und sollte alles gut gehen werden wir demnächst auch hier einen Link veröffentlichen.

Schon in Ordnung, ich werde Euer Hotel wegen den Paar Casino-Funktionen welche wirklich nichts besonderes im Server sind nicht besuchen. Da du mir keine Beweise stellen KANNST, ich sehe da weder willen noch können, muss ich, sowohl die ganze Community auf Retrotown feststellen, dass es KEIN selbst geschriebener Emulator ist. Ich bin mir da sogar zu 100% sicher, deshalb bitte ich dich nicht so rum zu prahlen mit einem Emulator welcher angeblich selbst geschrieben wurde, was jedoch nicht der Fall ist. Du kannst mir natürlich noch sagen was du möchtest, aber der einzige der hier Frech ist, dass bist du. Reine Masche um gut da zu stehen.. eventuell werde ich Euer Hotel nur besuchen um einige kleine Sicherheitslücken auf den Trip zu setzen.. Oh man, bitte.. das nächste mal einfach "Butterfly Emulator welcher von uns Modifiziert wurde" schreiben ;-).

Magnus: Ich weiß leider gar nicht was du unter dem Punkt "kritik" nicht verstehst? Ist das für dich Kriminell? Außerdem habe ich nur meine Meinung geäußert. ;-P

Ja wird gemeldet. Gab schon des öfteren mit Beweisen.

Hab vorhin im Live-Hotel eine Cookie Lösung entwickelt. Cookies funktionieren weiterhin normal nur Fremdzugriff ist ab sofort unmöglich. Weitere Sicherheitupdates werden demnächst vorgenommen.