Sicherheit - Interner Berreich

larruso

Ich habe einen internen Berreich online gestellt, und will nun schaun wie sicher er ist ....

indiesem sinne suche ich ein prog, womit ich versuchen kann meine logindaten zu cracken

die side ist ganz normal ... mit 2 kleinen feldern ... wo ich meinen namen und mein pw eingeben muss ..... und dann go ..

da ich in einer sehr "alten" und bekannten ally bin, ... und jeden tag wenn ich mich einloggen will 10 fehlloginns von anderen ip´s hab, dreh ich durch .... ich will nicht das einer unsere claninternen sachen liesst !

deswegen: mit welchem programm kann ich schaun wie sicher der zugriff ist, und was er braucht um ihn zu hacken .... da ich kein hacker bin brauche ich auch genaue anweisungen wie das proggi geht !


mfg

[C.T.X]-ebr!s-

poset mal deine url zu dem internen bereich oder klick oben auf chat und sag es mir im querry wir finden schon eine sichere alternative für dich

Antrax

Naja, ich würde mal sagen richtig sicher ist NICHTS ... :bunny:
Wenn sich da jemand ran setzt, mit dem Ziel darein zu kommen, dann schafft der das auch, wenn er gewisse Grundlagen dazu kennt.
Ich würde als Passwortsystem HtAcess vorschlagen, dass ist noch einigermaßen sicher.
Jedoch jemand der sein Handwerk versteht, kommt auch dort hinein

0xIde

Naja wie sicher es sein soll? hm ich kann nur sagen nix ist sicher im netz denn es gibt genug metoden um eine seite zu hacken nunja...wie gesagt egal ob HTACCESS geschützt oda net..naja es sei den die seite hat keine bug fehler dann wirds schwerer nunja mal zurück.Meist ist es so das der Superuser einer gut geschützen seite ein verschlüsseltes password file hat ist klar aber dies zu hacken ist zwar nicht einfach aber es ist machbar den der Superuser ist nur ein superuser muah?Es ist auch net möglich ein verschlüssltes passwort per passwort cracker raus zu kriegen weil das password meist versteckt ist hm?*gPassword files zeigen die verschlüsselten passwörter nicht an hm? mit gekommen jo hehe versteckte passwörter files haben ein "x" oda ein "*" an der stelle des passwortes hm alles klar *g?
ich gib dir mal ein beisbiel eines verstecketen passwort files *g
root::x:0:1:0000-Admin (0000) :/:/user/bin/csh
damon:x:1:1:0000-Admin:/:
bin:x:2:2:0000-Admin (0000 :/:/
adm:x:4:4:0000-Admin (0000) :/var/adm:
Ip:x:71:8:0000-Ip (0000) :/user/ :smtp:x:0:0:mail daemon user : / :
uucp:x:5:5:0000-uucp (0000) :/user /lib/lp
nuucp:x:9:9:0000-uucp (0000) :/var/spool/uucppublic:/user/lib/uucp/uucico
listen:x:37:4:Network Admin:/usr/net/nls:
nobody:x:60001:60001:uid no body:/:
noaccess:x:60002:6002:uid no access:/:
webmaster:x:53:53:WWW Admin:/export/home/Webmaster:/usr/bin/csh
pin4geo:x:55:55:PinPaper
Admin:/export/home/webmaster/new/gregY/test/pin4geo:/bin/false
ftp:x:54:54:anonymous FTP:/export/home/anon_ftp:/bin/false




Na und was siehst du was denkst du jetz hmmm?wo ist es naja egal ich will hier nicht ausfürhrlich werden nur ich will damit ein beisbiel geben das man jede seiten hacken kann egal welche es gibt immer wieder sicherheitslücken die man gut nutzen kann wie man sie nutz ist egal ob zum schlechten teil des Innhaber der seite oda ihn drauf aufmerksam zu machen naja ich rate dir mal ein CGI scanner zu nutzen für Noobs *g*ein paar bekannte bugs wären PHP PHF und HTML scripts für NooBs :-)))))
So der aufbau von HT - Access Schutz
Der Aufbau besteht generell aus 2 Dateien
-der .htaccess
-der .htpasswd
hm alles klar?
Die Dateien sind in dem geschützten Verzeichniss du willst sie Hacken *hm*?hehe
Die .htaccess bewirkt das dieses Fenster aufgerufen wird, das nach username password fragt -die -htaccess aufgeruft wird.
-eventuell die Fehlermeldung "error 401 bla bla use Unauthorized+password bal bal usw
Doe -htpasswd enthält den die Benutzernamen und wichtig die verschlüsselten Passwörter __
Naja ich will hier nicht alles erklären aber es gibt sehr viele metohden um seiten mit hT zu knacken ........also zu deiner seite mach den grössten schutz rein den du haben willst wenn ein hacker interessiert ist ist sie nicht mehr sicher wie gesagt ich sage dazu jetz nix mehr :-)))))

Antrax

Naja ... es liegt immer daran wie man es macht.
HTACCESS ist von sich aus an ziemlich sicher ( solang sich nicht gleich ein Hacker daran setzt ).
Also damit bist du ziemlich sicher, solang es sich nicht um eine Person handelt, die sich in diesem Gebiet auskennt.
Du kannst die ganze Sache aber auch noch etwas sichrere machen, in dem du die htacess datei auf einem secundären Server speicherst ( speicher niemals die htacess datei direkt auf deinem webspace wo sich auch die html, php etc. Files befinden ), also die Datei mit den Passwörtern auf einem Server in einem Rechenzentrum Stufe 3 ablegst.Allerdings ist diese Sache eher recht kostenspielig :P

larruso

was braucht der aber dazu um den internen berreich zu knacken!?

geht sowas mit brutforce?
der weis ja ned die ip von der hp, sondern max. die url ...

0xIde

larru wer weiss nicht die Ip hm? die ist doch wohl am einfchsten raus zu kriegen oder ?wie kommst darauf das der die kenigen das nicht wissen oder weiss du nicht wie das geht .
Und deswegen die vermutung ?Naja also die ip raus zu kriegen is wohl das einfachste überhaubt gib URL larru und ich find einige Schwachstellen raus :-) kann dir in 2 minuten direkt schonmal die Ip sagen *ggg* in 10 Minuten kann ich dir sagen was für ein server da läuft wo deine page drauf ist *g in einer halben stunde kann ich dir sagen ob dieser server Bug Fehler drinne hat :-)

N0Ob

dazu sag ich auch nur lol..
ALso einen clan intern zu hacken ist leicht, wenn man weiss wie es geht..
0xlde hat das schon ziemlich gut beschrieben..
@0xlde schau mal nach deinen privat messages und schreibe mal zurück

syXX

0xIde deine loligen grosskotzsprüche und deine lol antworten helfen hier nicht weiter, bist einfach nur lolig oh man :-)

0xIde

Jo he he ..syXX genau :-)

larruso

schau ihr kennt euch hier aus, ich nicht ich will wissen was der braucht um es zu hacken

und ich will es selber versuchen ..... ich will schaun, wie einfach es ist, rein zu kommen! in meinen internen bereich ....

also sagt mir bitte, was ich dazu brauche, und wie es geht ... pls !

0xIde

Hm syXX nach sonem take over naja wie gesagt *g root rechte sollte man schon haben *g

larruso

schau ihr kennt euch hier aus, ich nicht ich will wissen was der braucht um es zu hacken

und ich will es selber versuchen ..... ich will schaun, wie einfach es ist, rein zu kommen! in meinen internen bereich ....

also sagt mir bitte, was ich dazu brauche, und wie es geht ... pls !

Monro

dann währe es nett wenn du mal sagst was du einsetzt damit wir dir tools posten können wobei es nicht ganz auf die tools ankommt sondern. weil htaccess mit tools ist nicht so besonders gut, da eigentlich nur bruteforce in frage kommen würde wobei das nicht die eleganteste lösung ist. aber mit htaccess hast du den höchsten schutz im gegensatz zu scriptsprachen wie php oder java. syxx hat mir mal gezeigt wie man sowas macht thx nochmal an syxx schade das du net mehr so oft online bist du musst nicht versuchen das htaccess zu knacken das ist schcon mal dein erster fehler

0xIde

Jo mit Brutuforce mach du mal *g es gebe da noch eine Metode Via ftp über dos
*g funzt aber nicht bei jedem server meisten kannst du dich via anonym oda guest
einloggen :-)
Also gehe folgt vor mach Ms Dos Eingabeaufforderung auf und gib ftp ein.
so dann gibste ein open ftp.dummlamers.com d<<<die addy die du haben willst.
So dann steht da Verbindung mit dummlamers usw :-)
Als Benutzer namen gibste "anonymous" oder versuch mal guest so
nun weiter wenn das gemacht hast enter so dann müsste folgen
"Guest login ok,sen your complete e mail adresse as password"
da gibs du am besten "anonymous@gmx.de" wie du willst halt
so.
Dann müsste da stehen... "Guest loging ok,accees restriction apply"
wenn das da steht gibste folgenedes ein "cd etc" enter
Dann steht da ...."CWD command successful"
So zum schluss gibste dann nur noch ein "get passwd" so nun hast du die passwörter
auf der platte es kann aber oder kommt oft vor das die verschlüsselt sind die pwd
meist durch ein * oder ! oder x *g da gäbe es dann noch eine metode dies raus zu kriegen naja wie gesagt funkt net bei allesn servern :-))))Naja wenn man die passwörter dann auf der platte hat und sie mit dem editor öffnet
ist es in den meisten fällen verschlüsselt !!!!
Enweder man besort sich ein Password file cracker oda man versucht die andere metode:::::::::::

Wieder zurück in den ftp modus und man logt sich normal ein wie ich es oben beschrieben habe in welchen verzeichnis man sich einloggt hängt vom system ab nungut achso wenn ihr euch einlogt zeigt es an welches system es ist



System Pfad
SunOS 5.0 /etc/shadow x
EP/IX /etc /shadow x
System Rel 4.0 /etc/shadow x
IRIX 5 /etc/shadow *

usw usw kann hier jetz nicht alles auflisten ...
Also versucht einfach stadt cd etc cd etc shadow usw wieder speicher

Wie gesagt es gibt da verschieden sachen wie man an passwörter dran kommt
also mit brutuforce alleine kommste heute net mehr weit naja es sei den die seite hat kaum schutz dann kannste brutu benutzen naja egal wie rum einfach ausprobieren auchso en guten tipp versucht euch mal bei icq per ftp ein zu logge GreeTz


8-) 8-)

[C.T.X]-ebr!s-

sag mal hast du das von irgend einem alten tutorial oder was zeig mir mal einen server wo dies funktioniert.....

roflmao

Wüed ich auch gern ma wissen.Die Passwortdatei is meisstens fake,existiert nich oder is shadowed.

Antrax

Was schreibst du dort eigentlich
Entweder haste das von ner 5 Jahren alten Page oder du bist gerade dabei eine neues Zeitalter des "old hacking" zu beginnen
Ich mein ja nur so, aber es gibt heut zu Tage viel mehr als 2 Methoden um einen htacess zu knacken.
Und das es sehr schwer ist, kann ich nicht behaupten.
Aber wie du schon sagtest, solang der htacess nicht schwer gesichert und überwcht wird, kann man ihn einfach mit BF knacken.
Dauert zwar seine Zeit, aber man brauch ja nicht viel tun.
Nur nen paar sichere Proxys wären gut.

EDIT : Progs zum BF findet ihr unter DOWNLOAD ---> HACKING :P

larruso

ja das hab ich mir schon dll.

aber ich kenn mi ned aus, bei ip muss ich da die url eingeben!?