Schönen Sonntagabend.

Ich weiß nicht, aber ich habe etwas gegen Lügner.
Ich denke, einigen da draußen geht es auch so.

Kennt ihr dieses Gefühl, wenn ihr auf einer Seite 'anonym' lest & dann überlegen müsst, ob es wirklich anonym ist?
Hier haben wir so ein Beispiel.

Auf Gulli wird von einem Streaming-/Filesharinganbieter geredet.
Im zweiten Abschnitt steht folgendes:

Die Webseite „Anonstream.com“, die offenbar unter deutscher Führung steht, ist aktuell eines der prominentesten Beispiele. Auf der recht simpel gehaltenen Webpräsenz wirbt man mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“ und einer Vergütung für populäre Uploads. Auf welchem Wege diese Anonymisierung des Datenverkehrs allerdings erfolgen soll, wird nicht beschrieben.

Jetzt ratet mal. Genau, es findet keine Anonymisierung statt - ok, mom. Eines muss man sagen, die Apachelogs werden anscheinend auf /dev/null geschoben.
Wenigstens etwas.

Aber wenn ich schon Zugang auf den Server habe, kann ich mir doch auch gleich mal die Datenbank anschauen, oder nicht?
Nun gut. Das Erste, was mir in Interface von PhpMyAdmin auffällt ist folgendes: root@localhost
Aua?! Nungut, für mich war diese Fehleinstellung ein 'Segen'.

Gut, diesen Schock haben wir schonmal überstanden und können mit einem miesen Gefühl, das schlimmer wird, weiterschauen.

Schauen wir uns die Tabelle mit dem Namen 'dk_server' mal genauer an.
In dieser Tabelle sehen wir Plaindaten zu den zwei Fileservern. Schande!

85.131.244.251 - server1 - user - pass //natürlich zensiert.
85.131.244.252 - server2 - user - pass //natürlich zensiert.

Puh. Schock Nummer 2! *Kaffee hol*
Weitergehts.

Da ich ehrlich gesagt an einem Sonntag zu faul bin, jede Tabelle einzeln durchzuschauen, lasse ich in PMA schnell eine Suche nach dem Begriff 'ip' laufen.
Jetzt sollte ich normalerweise - jedenfalls laut Aussage der Betreiber dieser Seite - kein Ergebnis bekommen.
Hmh..

Fangen wir mal 'harmlos' an.
Tabelle: dk_payments

Diese Tabelle ist zum Glück noch leer.
Deshalb hier nur eine Liste der Spalten:

• active
• createdtime
• email
• id
• ip <- dafuq?
• itemid
• payment
• _amount
• payment_status
• txnid

Ok, das kann man vielleicht mit der Ausrede erklären, dass man sich selber vor Betrug schützen will und deshalb die IP's mitloggt.
Aber moment mal - was war nochmal mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“?
Da sollte Bezahlung inbegriffen sein - eigentlich.

Puh. Schock Nummer 3! *Koffeintablette hol*
Weitergehts.

Jetzt wird es interessanter.

Tabelle: dk_checkstatus

• requested_id
• timestamp
• user_ip <- are you fucking kidding us!?

Okay. Diese Tabelle logt anscheinend die Funktion, wenn ein Benutzer einen Statuscheck durchführt.
Ähm, jah. In dieser Tabelle sind momentan 'nur' fünf Einträge vorhanden - harmlos - vielleicht.
Aber -> „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“!?

Puh. Schock Nummer 4! *Wo ist mein Defibrillator*
Arrgh. Weitergehts.

So, nun zum Höhepunkt dieser *hust* Seite.

Tabelle: dk_getdownloads

• hash
• id
• stream
• timestamp
• user_id
• user_ip <- Ready to fuck 'em up..

*Gaaanz ruhig, durchatmen. Huh.*
Also. Wenn jemand einen Download aufruft, dann wird die IP geloggt.
Hah, wie schön.
Da geht einem das Herz auf. Das nennen die Betreiber Anonymität!
Applaus meine Freunde, bitte alle klatschen! - Danke.

Nun gut. Mein Herz und meine Nerven sind irgendwie an der Decke - wieso auch immer, ne?
Aber gut, ich habe es mir natürlich nicht verkneifen können, die Passwortstärke der Administratoren zu testen.

Es gibt laut der Tabelle 'dk_admins' drei Administratoren.

136 | bonkers | dfcc53d9a2*********7d3581deebdb
135 | root | d1502252e*************391855
183 | darkside022 | 819b7**************7ecbda

Zwei von drei Passwörtern wurden mit der GPU Bruteforce Methode innerhalb von 10 Minuten geknackt.
Ein kleiner Beweis für die, die immer Beweise wollen.

anonstream.com - Admin - Proofscreen - 1

anonstream.com - Admin - Proofscreen - 2

Und zum Abschluss noch eine Kleinigkeit.

Impressum / Anschrift wird morgen aktualisiert <-

Mehr habe ich nicht zu sagen.

Update:
Da hier einige der Meinung sind, es würden keine Logs exisitieren, gibt es hier einen Proofscreen vom Inhalt der Tabelle 'dk_getdownloads':

IP Log Proof

Schönen Abend noch.
Deniz.

Guten Tag.

Ich habe in einem Forum von dieser Seite erfahren.
Um was es geht? Ich zitiere hier mal den Vorstellungstext von der besagten Seite:

Jemanden im Straßenverkehr gesehen und nur das Kennzeichen gemerkt? Flincar basiert auf dieser Fragestellung. Sieht man eine Person in oder auf einem Fahrzeug und hat man hat sich das Kennzeichen gemerkt, kann man für diese Kennzeichen einen Eintrag hinterlassen. Der Inhalt dieser Nachricht kann sowohl positiv als auch negativ sein. Positiv im Sinne eines Lobes der Fahrweise, oder aus Bewunderung für beispielsweise ein schönes Auto. Vielleicht dient die Nachricht aber auch zum Kennenlernen neuer Personen. Der Eintrag kann allerdings auch negativ formuliert sein, sollte dann aber weder ausfallend noch unbegründet sein. Er sollte eher als Hinweis dienen für den Fall, dass ein Fahrer oder eine Fahrerin sich im Straßenverkehr falsch verhalten hat. Flincar hilft also sowohl bei der Kontaktaufnahme zwischen verschiedenen Personen, als auch der erhöhten Aufmerksamkeit im Straßenverkehr.

Die Idee finde ich persönlich sehr schwachsinnig.
Wo soll der Sinn sein, sein Autokennzeichen zu registrieren und dann soll man Leute kennenlernen bzw. kommentieren usw.?
Das würde wohl zum Großteil in Trolling und Beleidigung enden.
Mal abgesehen davon, dass sicher niemand noch eine Social Website braucht, bei der auch noch die Kennzeichen dem Vornamen, Nachnamen, der Adresse, Mailadresse usw. zugeordnet werden kann.

Nun gut, man soll Ideen respektieren.
Die Webseite ist nun mal online, also kann ich sie mir anschauen. Gedacht, getan.
Mit einem (wie soll man das jetzt nicht beleidigend, aggressiv und ausgerastet beschreiben?) Ergebnis, dass schlimmer aussieht als folgende Leckerei:

Schweizerkäse - www.n-tv.de

Ich habe einige Cross Site Scripting [XSS]-Lücken gefunden und SQL Injection Lücken.
Zu den XSS Lücken gibt es eigentlich nicht viel zu sagen, diese existieren auf sogut wie jeder Seite.

Hier geht es mir aber um die SQLi Lücke.
Ich staunte nicht schlecht, als ich mir bei der Abfrage den Datenbankbenutzer ausgeben lies: root@localhost

www.flincar.com - SQL Injection - User

Da war wohl jemand zu faul, einen eigenen Benutzer mit beschränkten Rechten zu erstellen oder wurden anderweitig Sicherheitsmaßnahmen ergriffen?
Schauen wir mal nach.

Nach dem ich diese Ausgabe sah, erweiterte ich die Abfrage, um am Ende noch mehr zu staunen.
Keinerlei andere Sicherheitsmaßnahmen, nicht mal die simpelsten Methoden wurden angewandt.
Somit war es mir auch möglich, Zugriff auf die bestimmte System & Webfiles zu 'erabfragen'.

z.B. die passwd Datei unter /etc/passwd.
oder auch die config.php

$mysql_host = "localhost";
$mysql_user = "root";
$mysql_pass = "***";  //Zensiert, bursali.
$mysql_base = "flincar_com";

So könnte man das weiterführen und andere Dokumente auslesen, wie z.B. die functions.php, mit hardcoded Maildaten.
(Man beachte die Funktion.)

function usermail($muserid, $m_text, $m_subject) {
	$muserqry = mysql_query("SELECT * FROM users WHERE id=$muserid LIMIT 1");
	$muserinfo = mysql_fetch_array($muserqry);
 
	if($muserinfo["allowmails"]==1) {
 
 		$m_from = "****";
 		$m_to = $muserinfo["email"];
 		$m_subject = $m_subject;
 		$m_body = $m_text;
 
		 $m_host = "****";  //Zensiert, bursali.
 		$m_username = "****";  //Zensiert, bursali.
 		$m_password = "****";  //Zensiert, bursali.
 
 		$headers = array ('From' => $m_from,
 		  'To' => $m_to,
 		  'Subject' => $m_subject);
 		$smtp = Mail::factory('smtp',
 		  array ('host' => $m_host,
  		   'auth' => true,
  		   'username' => $m_username,
  		   'password' => $m_password));
 
 		$mail = $smtp->send($m_to, $headers, $m_body);
	}
}

Wie Ihr sehen könnt, kein Problem an sensible Daten zu kommen.
Noch schöner ist es, wenn PhpMyAdmin online erreichbar ist und man sich theoretisch einfach mit den obigen Daten einloggen und ein Dump der Datenbank ziehen könnte oder sich selber zum Admin machen usw.

Zuletzt bleibt zu sagen, dass man keine 'social'-Seite eröffnen sollte, solange man nicht in der Lage ist, sauber zu programmieren und vor allem dann nicht, wenn man die einfachsten Serverkonfigurationen nicht anpassen kann bzw. zu faul dafür ist.

Lustig ist auch, dass ein paar Tage nach meiner Mail die Seite & die Domain geändert wurde.
Also wundert Euch nicht, wieso im Titel zwei Domains genannt werden.

bursali's vulnerability database | www.flincar.com ~ SQL Injection & Cross Site Scripting

Update:

Es freut mich, dass ich nach diesem Artikel zwei eMails erhalten habe.
Ich bedanke mich hier bei Herr Lauer für seine Reaktion & Einsicht.
Der Bitte gehe ich gerne nach.

Ich würde Sie bitten den Artikel zu entschärfen, wir haben bereits
auf die Probleme reagiert und hoffen dass das Projekt keine erheblichen
Sicherheitslücken mehr aufweist.

Daher würde ich Sie höflichst bitten den o.g. Satz zu entfernen, da
auch die Mitgliederzahlen auf flinyu nicht veröffentlicht wurden.

PS: Sie schreiben "Das würde wohl zum Großteil in Trolling und Beleidigung enden"
aktuell ist es doch so, dass die Nachrichten zum größten Teil positiv sind.

Wir bleiben bemüht Beleidigungen und Anprangerungen zu unterbinden. Flinyu
soll dienen um Kontakte herzustellen und auch (wie Sie es tun) im öffentlichen
Interesse zu handeln.

Schönen Abend,
Deniz.

Gute Nacht..
..okay, moment. Wir haben hier gerade 23.21 & ich sollte schon längst im Bett liegen.

Aber ich muss jetzt einfach was schreiben.
Also,
1. Ich hasse Satzzeichenrudel!
2. Wieso zum Teufel spammst/spammt du/ihr mich zu? oO
3. Bitte hör/hört auf, über 30 Mails (!) zu verschicken, nur weil angeblich der Button nicht funktioniert.
4. Der verdammte Tweet Button funktioniert! -> Bestätigt durch NoNameMT & mir persönlich.

Why?

Oh meine Nerven..

Gute Nacht.
Deniz.

'Nabend.

Das die Amis bei manchen Sachen etwas krank im Kopf sind, ist uns bewusst.
Aber dieses - geile - Video wird wohl noch lange ein Thema sein, wenn es um das Thema Respekt und Wortwahl gegenüber den eigenen Eltern geht.

Der Herr im Video ist ein Informatiker & hat erst neulich den Laptop seiner Tochter geupgraded und konfiguriert.
Seine Tochter (klingt wie ein kleines, verwöhntes Mädchen), schreibt einen langen "Brief" auf Facebook, wo sie von ihrem Leben erzählt und wie scheisse ihre Eltern sind usw.
Draufhin schnappt sich der Vater den Laptop, seine 9mm & bringt es auf den Punkt!

Einfach anschauen, der Brief wird vom Vater vorgelesen & kommentiert.

Schönen Sonntagabend noch,
~bursali.