Hallo,

mich würde mal interessieren wie man die ips der user in einer shoutbox z.B von http://35673.myshoutbox.com/ ermittelt.

Ich weis das das geht, auch wenn man nicht der Admin der Box ist.
Nur wie geht das?

Danke

Wenn man nicht der Admin ist? Das glaube ich weniger.

Doch ist möglich.

Weis leider nur nicht wie :confused:

Hi!


Doch ist möglich.
Ja, wenn du das Admin-Paßwort herauskriegst oder die Shoutbox ne Sicherheitslücke im Code hat (Stichwort: SQL-Injection). :ugly:

Gruß
fuffy

Ich vermute das es über den sourcecode der box geht.



function delmake(entryip,tstamp){var ip='MjE3LjIzOC4xNjguNzY='; if((ip==entryip)&&(tstamp>1108136354)){document.write("<BR>[ <A HREF='./?f=d&mid="+tstamp+"&LANG=DE&css=&extcss='>l&ouml;schen</A> ]");};}


Die ip der user wird ja in delmake(entryip,tstamp) gespeichert.

So sieht es dann aus wenn ein user was gepostet hat.


delmake('MjE3LjIzOC4xOTAuODc=','1107871818');


"MjE3LjIzOC4xOTAuODc=" muss man doch irgendwie entschlüsseln können, oder?
Da ist doch die Ip drin hinterlegt.

Das Script da ist sicher nicht für die Eintragungen verantwortlich ;)

"MjE3LjIzOC4xOTAuODc=" muss man doch irgendwie entschlüsseln können, oder?
Da ist doch die Ip drin hinterlegt.
Das würde voraussetzen, dass es sich dabei wirklich um eine Verschlüsselung und nicht nur um einen Hash-Wert handelt. Kannst du das mit Sicherheit sagen? :ugly:

Ob Hash oder Verschlüsselung, keine Ahnung.
Was ist den der Unterschied zwischen Hashwert und Verschlüsselung?

Ich weis nur das normale user öfter die ips rausbekommen, weis aber nicht wie.

Eine Verschlüsselung ist umkehrbar (mit dem richtigen Schlüssel), eine Hash-Funktion kann nicht umgekehrt werden.

Das würde voraussetzen, dass es sich dabei wirklich um eine Verschlüsselung und nicht nur um einen Hash-Wert handelt. Kannst du das mit Sicherheit sagen? :ugly:Das würde aber wohl in die Kategorie "Sicherheitslücke" fallen, oder?

Hm,

scheint nicht so schwierig zu sein, jedenfalls löst

perl -MMIME::Base64 -e 'print decode_base64("MjE3LjIzOC4xNjguNzY=");' das ganze nach
217.238.168.76 auf.
Also einfach base64-"encoded". Leicht zu sehen am Padding mit "=".
Soweit ich das sehe, ist 217.238.168.76 eine valide IP.

Gruß,

emwe

P.S.: Soweit ich das sehe, zeigt 'delmake' einen Löschen-Button an, falls die IP mit der übereinstimmt, die den Eintrag erstellt hat.

Wer macht denn sowas http://techangel.co.uk/forums/images/smilies/custom/wallbash.gif
@emwe: nice

Sieht nach einer Eigenentwicklung aus...
Jedenfalls klafft da die Riesenlücke schlechthin - man kann alle Einträge einer Shoutbox löschen.
Genaueres werd ich hier aber natürlich nicht posten - man muss ja den kiddies nicht gleich was zum Spielen in die Hand drücken. Diejenigen, die sich wirklich für "Sicherheit" interessieren sehen die Möglichkeit wahrscheinlich auch innerhalb kurzer Zeit.

Besorgter Gruß,

emwe

EDIT: Wenn ich morgen nicht zu faul bin, schreib ich mal ne Mail an myshoutbox.com. Die scheinen ja auch mit Ihrer Datenbank nicht sonderlich viel verstecken zu wollen... Stichwort "UIN"

Genaueres werd ich hier aber natürlich nicht posten - man muss ja den kiddies nicht gleich was zum Spielen in die Hand drücken.Erf, du hast recht. Wundert mich dass noch kein Scriptkiddie sämtliche Boxen gelöscht hat. Wahrscheinlich ists dem Anbieter aber egal, da darfst du dir keine Hoffnungen machen. Wer sowas online stellt glaubt auch man könnte mit einem Javascript den HTML-Code seiner Website vor Zugriff schützen.

p.s.: Entschuldigung an bubba1 an dieser Stelle, tut mir leid aber ich hatte eigentlich bisher noch ein wenig Vertrauen in die Anbieter von sowas :o

lol ist das einzige was mir dazu einfaellt. groesser gehts ja gar nicht mehr...
damit is auhc das letzte bisschen vertrauen von solhen anbietern bei mir verschwunden.

So, hier mal die Mail die heute an support@myshoutbox.com rausging:



Dear support team,

Accidently stumbling accross your web service I found a major design flaw in your application MYSHOUTBOX
allowing an attacker to delete all entries in a SHOUTBOX.

// hier wurde die Anleitung für die Kiddies weggelassen

Since this flaw is severe and you claim to serve "several thousand customers" I urge you to fix this instantly.
A quick fix would be to remove the ability to delete entries or to change the authentication method of the
deleting user to something more sophisticated than a comparison of the host's IP Adress.

I have to thank bubba1 for his initial discovery of the 'delmake'-function.

I will make this information publicly available as soon as you have fixed this flaw and told me so.
If you choose not to fix the flaw or to fix it silently without notifying your customers, I may opt to publish
the information without your acknowledgement on February, 26th, 2005.

Awaiting your instant answer,

Yours Sincerely,

// Name weggelassen (emwe)

P.S.: If there are any german speaking admins in your team, they should feel free to visit www.linuxforen.de and join the discussion in "Allgemein"/"Sicherheit", Thread "Ip der User in shoutbox ermitteln".

P.S.: If there are any german speaking admins in your team, they should feel free to visit www.linuxforen.de and join the discussion in "Allgemein"/"Sicherheit", Thread "Ip der User in shoutbox ermitteln".
gibt auch en deutsche seite von shoutbox. habn den selben fehler. mal sehn ob die sich melden...

Hallo,

das da so eine "große" Sicherheitslücke klafft, hätte ich jetzt wirklich nicht gedacht.

Alleine wäre ich nicht auf die Lösung gekommen, wohl deshalb weil ich kein Perl kann. Aber ich war ja im Sourcecode an der richtige Stelle.

Bin jetzt mal gespannt, wie shoutbox.com auf die email reagiert.

o_O
interessante sache... mein clan hat auch so eine

[ austriangamers.com ]

muss ich gleich ma posten

@eruhenon: Die deutsche Seite verweist ja wohl eindeutig auf die Originalseite, deshalb ist anzunehmen, dass das Team an sich nicht Deutsch spricht. Ausserdem sieht der Eintrag bei der DENIC für myshoutbox.de nach Alibi-Eintrag aus (Privatperson - weiblich), wohingegen die myshoutbox.com auf eine Firma registriert ist.

Bis jetzt hat sich noch niemand gemeldet, aber es ist ja schliesslich (auch in den US) noch Wochenende...

Gruß,

emwe

So,

nachdem ich heute Nachmittag zusammen mit kshade versucht habe, den Bug nochmal zu reproduzieren, hat das nicht geklappt. Zwar können weiterhin alle von der eigenen IP aus angelegten Beiträge gelöscht werden, bei allen anderen jedoch scheint dies nicht (mehr?) zu funktionieren.
Wohlgemerkt bin ich mir sicher, dass am Freitag abend ebenfalls die Beiträge, die von einer anderen IP kamen, gelöscht werden konnten. Entweder hat also myshoutbox.com schnell reagiert, oder ich habe im Eifer des Gefechts am Freitag nicht korrekt verifiziert, dass beliebige Nachrichten gelöscht werden können.
Antwort von myshoutbox.com kam bisher nicht.
Die IPs der Benutzer lassen sich weiterhin aus der HTML-Seite ziehen.

Gruß,

emwe