Entwickler-Ecke
Off Topic - ftp-passwort gehackt
The-FoX - Fr 08.08.03 18:35
Titel: ftp-passwort gehackt
hi. Ich habe mir vor 2 tagen einen Ftp server gesichert um leuten im Forum die Möglichkeit zu geben über mein Program daten auf meinen Ftp-Server hochzuladen um nicht immer den Forumwebspace zu bemühen. Jetzt wollte ich vorhin über leechftp auf meinen Ftp doch das pw war falsch. Ich habe dann bei
http://www.8ung.at versucht mich anzumelden doch auch dort war das Passwort geändert worden. Über die email addresse kann ich das Passwort auch nicht mehr anfordern weil die eMail adresse geändert wurde (nicht das Passwort, obwohl es dasselbe war) Ich habe nun mit der erstelleremail adresse einen eMail an 8ung.at geschrieben und ihnen dies mitgeteilt. Haltet ihr es für möglich das vielleicht nur von 8ung der Server gesperrt wurden, weil zu viel Traffic herschte?
Terra23 - Fr 08.08.03 18:50
Möglich ist alles, unmöglich ist nichts; es ist jedoch nicht möglich, daß dein Topic hier bleibt und zugleich unmöglich, daß es nicht verschoben wird. :-)
Nein, Spaß beiseite. Ich denke, wenn nur zuviel Traffic herrscht, könntest du dich trotzdem einloggen. Es würde dann ein wenig dauern, bis eine Verbindung hergestellt/nicht hergestellt wird und du würdest eine entsprechende Fehlermeldung erhalten. Nur weil Traffic herrscht, ändern sich nicht gleich Passwörter und Mail-Adressen. Am Besten wartest du mal ab und durchsuchst mal deinen Rechner nach ungewöhnlichen Programmen á la "Netbus" oder "Sub7even".. :-)
UC-Chewie - Fr 08.08.03 18:51
Über einen PaketSniffer kann der Logon-Name des FTPs und evlt. auch das Passwort rausgekriegt werden. Ich nehm an, du kannst FTP-Passwörter über irgendein Web-Frontend ändern. Wenn du da das gleiche Passwort und den gleichen Namen wie für deinen FTP-Server genommen hast, dann ist es sehr gut möglich, dass jemand sich die Zugangskontrolle für den FTP-Server geschnappt hat.
The-FoX - Fr 08.08.03 18:53
Nein ich denke das der jenige das Programm das ich oben beschrieben habe in Assembler oder sonst wie geöffnet hat. Dort drin steht natürlich mein Password :( Meint ihr ich bekomms zurück von 8ung? da waren extrem wichtige sachen drauf *hoil*
edit: SubSeven usw. hab ich nicht drauf, weil mein Norton des sofort erkannt hätte. (Hats schonmal)
UC-Chewie - Fr 08.08.03 19:03
Jo, oder so. Wenn dein FTP-Passwort gleich dem Passwort ist, mit dem du deinen Zugang konfigurierst hast, dann muss ich leider sagen: selber Schuld. Aber als Kunde müsstest du mit Hilfe deiner Kundennummer oder so etwas eigentlich den Anbieter dazu veranlassen können, die Zugangsdaten zu ändern.
Moritz M. - Sa 09.08.03 20:32
Hi
Da bin ich jetzt an einem Problem, dass ich auch schon hatte:
Wie ein Passwort in einem Programm unterbringen ohne dass es jemand anders auslesen kann...?
Aya - Sa 09.08.03 20:39
| Onz hat folgendes geschrieben: |
Hi
Da bin ich jetzt an einem Problem, dass ich auch schon hatte:
Wie ein Passwort in einem Programm unterbringen ohne dass es jemand anders auslesen kann...? |
Hi,
am besten in mehrere Variablen/Constanten aufteilen und verschlüsseln.. mit nem einfachen ByteShifter etc :)
Also ein paar buchstaben des PWs machst du in lokalen Variablen, ein paar in globalen, ein paar verschlüsselst du etc...
Au'revoir,
Aya~
The-FoX - So 10.08.03 18:42
| UC-Chewie hat folgendes geschrieben: |
| Jo, oder so. Wenn dein FTP-Passwort gleich dem Passwort ist, mit dem du deinen Zugang konfigurierst hast, dann muss ich leider sagen: selber Schuld. Aber als Kunde müsstest du mit Hilfe deiner Kundennummer oder so etwas eigentlich den Anbieter dazu veranlassen können, die Zugangsdaten zu ändern. |
Es gibt bei 8ung.at nur dieses eine Passwort. Du gibts bei der Anmeldung dein Pw an, und das ist dann dasselbe für ftp, 8ung-email und für den gesamten Account.
@Aya. Ja des hab ich jetzt auchso gemacht. Der Verschlüßelungscode wird zwar leider angeben in der Form, aber ich denke das würde sehr schwer werden für dem typ das zu entschlüßeln. Naja ich ruf morgen sobald ich wach bin dort an, und wenn ich dem Namen und das Passwort bei der Registrierung nennen kann denke ich schon das der mir weiterhelfen kann. Thx@all.
Anonymous - So 10.08.03 18:54
versuch es auch mal hiermit:
Delphi-Quelltext
1:
| chr(23) + chr(bla) + chr(asdfgh) |
Da musst du nur eben vorher den String in hex/dezimal-zahlen umwandeln. Das würde ich übrigens an möglichst vielen stellen machen.
dann ist es auch nicht mehr so leicht zu finden. (Über einen Debugger allerdings immernoch)
Bei Delphi werden konstantenstrings übrigens standardmäßig verschlüsselt in der exe abgelegt.
Folgendes solltest ud auch noch machen.
Lege an völlig sinnlosen stellen im Programm variablen/constanten mit dem inhalt von sinnlosen zeichenketten die passwörter sein könnten an.
Außerdem würde ich auch noch nach den Fenstern von Debuggern/Paketsniffern (such mal bei google, da solltest du schnell die richtigen namen finden. Und schau dir mal EnumWindows an) suchen und keine Verbindung herstellen, wenn einer gefunden wird - dann kann man aber immernoch einfach den titel des fensters ändern.
Sonst fällt mir gerade nichts ein.
The-FoX - So 10.08.03 23:38
hmm ok, aber wie kann ich strings in hezadezimal umwandeln?
lemming - Mo 11.08.03 14:54
Hi,
man muß nicht einmal einen Disassembler bemühen um an Strings ran zu kommen die in einer Exe stecken. Einfach dieses Prog verwenden:
http://www.hardtware.de/software/bitnapper.zip
und schwup di wup hat man alle strings. Geht bei Delphi Progs übrigens auch mit dem Resource Explorer. Toll nicht wahr?
-lemming
neojones - Mo 11.08.03 15:15
@obbschtkuche: Seit wann werden Konstanten in Delphi EXE-Files verschlüsselt abgelegt?
Viele Grüße,
Matthias
Anonymous - Di 12.08.03 14:38
@neojones: eigentlich schon immer. (oder?)
@emming: in den Resourcen findest du nur einen Stringtable mit allen resource Strings. Sonst keine. die musst du aber speziell deklarieren.
Strings in dezimal umwandeln geht ganz einfach:
Delphi-Quelltext
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
| type
TByteArray = array of byte;
function StrToDez(s: string): TByteArray;
var
i: integer;
begin
setlength(result, length(s));
for i := 0 to high(result) do
ressult[i] := byte(s[i]);
end; |
(ungetestet)
neojones - Di 12.08.03 15:00
@obbschtkuche: Nein, noch nie!
Viele Grüße,
Matthias
Anonymous - Mi 13.08.03 11:06
Dann kannst du mir ja sicherlich sagen, wo ich sie in der exe finden kann :?: :D
Udontknow - Mi 13.08.03 12:08
Konstanten sind meist im Klartext einfach per HexViewer auszulesen (gleiches gilt für persistente Daten, z.B. Parameter einer DB-Verbindung).
Man sucht einfach mal nach einer Zeichenkette "Password","PW","Pass","Auth" oder ähnliches.
Ressourcenstrings sind jedoch nicht im Klartext abgelegt, ich weiss nicht, ob sie nur komprimiert oder wirklich verschlüsselt werden.
Cu,
Udontknow
MathiasH - Mi 13.08.03 12:26
wenn 8 ung phpund htacces unterstützt kannst du in zukunft einfach son hochlade php skript auf deinen space stellen, das passwort gilt ja dann nur für ein verzeichniss
Anonymous - Do 14.08.03 09:00
ressourcenstrings sind (glaube ich) einfach in einem Stringtable abgelegt.
Das mit dem php-Script habe ich auch schon gedaacht. aber wofür brauchst du dann noch ne .htacces datei? Sollen die hochgeadenen dateien danach nicht public sein?
| Udontknow hat folgendes geschrieben: |
Man sucht einfach mal nach einer Zeichenkette "Password","PW","Pass","Auth" oder ähnliches.
|
du glaubst doch nicht im ernst, dass delphi die Konstantennamen in der exe ablegt.
Wenn schon irgendwas schwallen, dann wenigstens vorher nachdenken.
MathiasH - Do 14.08.03 09:07
ne, ich hatte gedacht, die schreibrechte an das script zu binden
aber dieses paswort kann man dann auch wieder abfangen.......
-> nur php reicht eigentlich
Anonymous - Do 14.08.03 09:10
ich glaube man braucht dann gar keine schreibrechte mehr. Einfach per HTTP-POST und eine größenabfrage oder sonstwas. das sind höchstens 10 Zeilen.
Udontknow - Do 14.08.03 09:24
| Zitat: |
du glaubst doch nicht im ernst, dass delphi die Konstantennamen in der exe ablegt.
Wenn schon irgendwas schwallen, dann wenigstens vorher nachdenken |
:evil: Hmpf. Was für eine nette Ausdrucksweise. hast wohl das Handbuch "Richtlinien für´s neue Freunde gewinnen" gefressen.
Vielleicht habe ich mich doof ausgedrückt, das mit dem Suchen bezog ich auf die persistenten Daten, also z.B. die Params einer DB-Con. Die kannst du tatsächlich ermitteln. Habe ich schon an einer EXE in meinem Unternehmen ausprobiert und so die Zugangsdaten zu einer MS-SQL-DB erfahren.
Tschuldigung für´s Schwallen. :x
Anonymous - Fr 15.08.03 21:11
Verzeiht mir meine Ausdrucksweise.
Natürlich kann man alle Daten herausfinden, die irgendwo in den Formularen gespeichert sind, aber konstanten in der regel nicht.
Entwickler-Ecke.de based on phpBB
Copyright 2002 - 2011 by Tino Teuber, Copyright 2011 - 2026 by Christian Stelzmann Alle Rechte vorbehalten.
Alle Beiträge stammen von dritten Personen und dürfen geltendes Recht nicht verletzen.
Entwickler-Ecke und die zugehörigen Webseiten distanzieren sich ausdrücklich von Fremdinhalten jeglicher Art!