Seit letzte Woche Freitag habe ich ein paar Änderungen am Blog vorgenommen.
Ich zitiere mal kurz die Teil-ToDo vom vorletzten Beitrag:

• Das Ändern des Blogtitels 'Home of the CyberTerrorist', in 'Home of turkish humor, mental madness & cyberstuff.' wird wohl die größte Änderung werden.
• Auch werde ich versuchen, mich an ein neues Design zu setzen. Etwas schlichteres und in der Farbrichtung grau/blau. Mal schauen.
• Der Vuln-Beitrag-Faktor ist stark gesunken und die Liste der zu publizierenden Vulnerabilities liegt im Moment bei 45 Einträge. Also muss sich hier auch etwas tun. Eine Intervalpublizierung wäre eine schöne Idee. Jede Woche 2-3 Vulns, publiziert in der VulnBD mit einem Querbeitrag im Blog.
• Der Blogroll und allgemein die Partner & Partnerlinks müssen ausgemistet werden. Ist mir zu voll der Bereich. Eventuell eine Unterteilung in verschiedene Bereiche, wie zum Beispiel 'Special Friends', 'Friends' usw.
• [...]

- Der Blogtitel und alle dazugehörigen Bilder und Verlinkungen wurden bereits letzte Woche Sonntag geändert.
- Den Blogroll habe ich nun angepasst, alle Offlinelinks sind nun entfernt und eine kleine Einteilung durchgeführt.
- Das mit dem Design muss ich mir noch überlegen, habe da zwar einen Ansatz angefangen, ist mir aber ehrlich gesagt zu hell, bin dieses dunkle gewohnt.
- Und das mit den Vulns ist auch schon geplant, im Moment programmiere ich eine kleine Bridge zwischen der VulnDB und dem Blog. Mal schauen was daraus wird.

Ansonsten wünsche ich euch noch einen schönen Sonntagabend,
Deniz.

Ist zwar schon sehr lange her, dass ich die Vuln gefunden habe, dennoch werde ich ab jetzt versuchen die Einträge in meiner Warteliste zu veröffentlichen.
Sind einige Seiten und Vulns von 2011.

Der Netload Support hat sehr schnell geantwortet und alles sauber erledigt.
Außerdem gab es ein kleines Dankeschön, was ich sehr nett finde!
Alles in allem ein schneller und freundlicher Support.

Zur Vuln:
bursali's vulnerability database | www.blog.netload.in ~ Cross Site Scripting

Schönen Tag,
Deniz.

Es ist schon ein paar Jahre her, seit dem mein Blog online ist.
Es gab mehrere Downtimes, Probleme mit der Domain, Probleme mit Vendoren/deren Anwälten und Behörden wegen den Veröffentlichungen von Vulnerabilities/Exploits, unter anderem auch Probleme wegen dem Blogtitel, den viele falsch aufgenommen haben, Contentprobleme usw.

Nach dem Wechsel von den elendigen Webspace-Angeboten, auf einen VPS, läuft alles schon seit einiger Zeit ohne große Downtimes, lediglich ab und zu spinnt mal das Webserversystem oder ich bin wieder einmal Opfer eines DDoS-Angriffs usw. Dieses 'Problemchen' werden wir wohl nie los.

Genau wie die endlos zu scheinenden Probleme und Sorgen im Reallife, welche mich viel Zeit und Kraft kosten.
Einige haben schon bemerkt, dass von mir kaum bis gar keine Beiträge und/oder Tweets mehr kommen und das ich auch kaum Zeit habe mich um mein Mailpostfach zu kümmern. [Und wenn ich mal kurz Zeit habe, werde ich von Mails alá 'enlarge your pe**s' zum Lachkrampf verleitet oder muss über 'Droh'-Mails und 'Du-scheiss-türken-lutscher'-Mails grinsen. ]

Und so langsam wird es auch mal Zeit, ein paar Änderungen vorzunehmen.

• Das Ändern des Blogtitels 'Home of the CyberTerrorist', in 'Home of turkish humor, mental madness & cyberstuff.' wird wohl die größte Änderung werden.
• Auch werde ich versuchen, mich an ein neues Design zu setzen. Etwas schlichteres und in der Farbrichtung grau/blau. Mal schauen.
• Der Vuln-Beitrag-Faktor ist stark gesunken und die Liste der zu publizierenden Vulnerabilities liegt im Moment bei 45 Einträge. Also muss sich hier auch etwas tun. Eine Intervalpublizierung wäre eine schöne Idee. Jede Woche 2-3 Vulns, publiziert in der VulnBD mit einem Querbeitrag im Blog.
• Der Blogroll und allgemein die Partner & Partnerlinks müssen ausgemistet werden. Ist mir zu voll der Bereich. Eventuell eine Unterteilung in verschiedene Bereiche, wie zum Beispiel 'Special Friends', 'Friends' usw.
• [...]

Ein paar kleine Überraschungen habe ich auch schon im Kopf. Verschenkt wurde hier ja auch schon lange nichts mehr.

So. Puh.. das sind so ~5% der Sachen, die ich tun sollte. Nebenbei gibt es noch genug mit den legalen Projekten zu tun & Arbeit + Studium. Hah. Stressiges Leben. >_<
[Was sagte mein Psychiater immer? 'Deniz, du musst versuchen dein Leben stressfreier zu gestalten, mehr Zeit für dich selber zu nehmen und vor allem Zeit für Sachen zu investieren, die dir Spaß machen und dich entspannen, [...]]

Schönen Sonntagabend noch,
Deniz.

Während die halbe Welt Ostern feiert, werde ich im Moment kaum mit meiner Arbeit fertig, was viele Überstunden und auch viele Stunden lernen bedeutet.
Zeit, um zwischendurch meine Feeds zu checken, bleibt da aber dennoch.

So habe ich auch vom eBook 'Netzkinder gegen Offliner - Danke, Internet.' von Alexander Fuchs erfahren und es mir gekauft.

Auch Pascal vom Nerdfon und unser Hoohead haben darüber berichtet.

Das Buch ist in einem schönen, lockeren und amüsanten Schreibstil verfasst. Auch Ausdrücke wie lol, wtf usw. werden verwendet, was meiner Meinung nach auch schön zum Thema passt.
Der Inhalt bezieht sich eigentlich komplett auf das Nerdleben [ ] von Herrn Fuchs und lustigen Momenten bzw. Geschehnissen.

Deshalb auch von mir eine Kaufempfehlung.
Kurze Info zum Kauf/nach dem Kauf, direkt zitiert von Hoohead.

Um Amazon ebooks lesen zu können, benötigt man einen Kindle oder einen Kindle Reader, den man sich für Windows, Android und co direkt bei Amazon besorgen kann.

Ganz praktisch ist auch der Amazon Kindle Cloud Reader: http://read.amazon.com, bei dem man die ebooks direkt im Browser lesen kann.

Ein gekauftes ebook wird dann mit allen gewünschten Endgeräten synchronisiert, so dass man sich das Buch nicht mehrmals kaufen muss – Klasse eigentlich.

Buch kaufen!
1337 Blog
Alexander Fuchs (@einfachfuchs) auf Twitter

Schönen Abend noch,
Deniz.

Diese Woche wurde wieder eine neue vBulletin Vulnerability veröffentlicht.
Dieses Mal handelt es sich um zwei verschiedene Cross Site Scripting Vulnerabilities.
Außerdem gibt es noch ein PoC Video.

Ich zitiere:

# Exploit Title: vBulletin 4.1.7 => 4.1.10 XSS Vulnerability
# Google Dork: intitle: powered by vBulletin 4.1.10
# Date: 20/02/2012
# Author: .e0f
# Software Link: [http://www.vbulletin.com/]
# Version: [4.1.10 Others not tested]
# Tested on: [BackTrack 5 | BlackBuntu | Windows 7/xp]
# Contact: [https://twitter.com/#!/e0fx]
# Home: [http://brutezone.ru]
# Greetz: Inj3ct0r Exploit DataBase 1337day.com
# Video: [http://vimeo.com/39049790]
##############################################################
Vulnerability:
1.
Send New Private Message >
>
Message text > %22%3E%3Cscript%3Ealert('XSS')%3C/script%3E (encode script UTF-8)
##############################################################

Watch the video: [http://vimeo.com/39049790]

Schönen Sonntag,
Deniz.

Ich weiß nicht, aber ich habe etwas gegen Lügner.
Ich denke, einigen da draußen geht es auch so.

Kennt ihr dieses Gefühl, wenn ihr auf einer Seite 'anonym' lest & dann überlegen müsst, ob es wirklich anonym ist?
Hier haben wir so ein Beispiel.

Auf Gulli wird von einem Streaming-/Filesharinganbieter geredet.
Im zweiten Abschnitt steht folgendes:

Die Webseite „Anonstream.com“, die offenbar unter deutscher Führung steht, ist aktuell eines der prominentesten Beispiele. Auf der recht simpel gehaltenen Webpräsenz wirbt man mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“ und einer Vergütung für populäre Uploads. Auf welchem Wege diese Anonymisierung des Datenverkehrs allerdings erfolgen soll, wird nicht beschrieben.

Jetzt ratet mal. Genau, es findet keine Anonymisierung statt - ok, mom. Eines muss man sagen, die Apachelogs werden anscheinend auf /dev/null geschoben.
Wenigstens etwas.

Aber wenn ich schon Zugang auf den Server habe, kann ich mir doch auch gleich mal die Datenbank anschauen, oder nicht?
Nun gut. Das Erste, was mir in Interface von PhpMyAdmin auffällt ist folgendes: root@localhost
Aua?! Nungut, für mich war diese Fehleinstellung ein 'Segen'.

Gut, diesen Schock haben wir schonmal überstanden und können mit einem miesen Gefühl, das schlimmer wird, weiterschauen.

Schauen wir uns die Tabelle mit dem Namen 'dk_server' mal genauer an.
In dieser Tabelle sehen wir Plaindaten zu den zwei Fileservern. Schande!

85.131.244.251 - server1 - user - pass //natürlich zensiert.
85.131.244.252 - server2 - user - pass //natürlich zensiert.

Puh. Schock Nummer 2! *Kaffee hol*
Weitergehts.

Da ich ehrlich gesagt an einem Sonntag zu faul bin, jede Tabelle einzeln durchzuschauen, lasse ich in PMA schnell eine Suche nach dem Begriff 'ip' laufen.
Jetzt sollte ich normalerweise - jedenfalls laut Aussage der Betreiber dieser Seite - kein Ergebnis bekommen.
Hmh..

Fangen wir mal 'harmlos' an.
Tabelle: dk_payments

Diese Tabelle ist zum Glück noch leer.
Deshalb hier nur eine Liste der Spalten:

• active
• createdtime
• email
• id
• ip <- dafuq?
• itemid
• payment
• _amount
• payment_status
• txnid

Ok, das kann man vielleicht mit der Ausrede erklären, dass man sich selber vor Betrug schützen will und deshalb die IP's mitloggt.
Aber moment mal - was war nochmal mit „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“?
Da sollte Bezahlung inbegriffen sein - eigentlich.

Puh. Schock Nummer 3! *Koffeintablette hol*
Weitergehts.

Jetzt wird es interessanter.

Tabelle: dk_checkstatus

• requested_id
• timestamp
• user_ip <- are you fucking kidding us!?

Okay. Diese Tabelle logt anscheinend die Funktion, wenn ein Benutzer einen Statuscheck durchführt.
Ähm, jah. In dieser Tabelle sind momentan 'nur' fünf Einträge vorhanden - harmlos - vielleicht.
Aber -> „völlige[r] Anonymität beim Hochladen, Streamen und Downloaden“!?

Puh. Schock Nummer 4! *Wo ist mein Defibrillator*
Arrgh. Weitergehts.

So, nun zum Höhepunkt dieser *hust* Seite.

Tabelle: dk_getdownloads

• hash
• id
• stream
• timestamp
• user_id
• user_ip <- Ready to fuck 'em up..

*Gaaanz ruhig, durchatmen. Huh.*
Also. Wenn jemand einen Download aufruft, dann wird die IP geloggt.
Hah, wie schön.
Da geht einem das Herz auf. Das nennen die Betreiber Anonymität!
Applaus meine Freunde, bitte alle klatschen! - Danke.

Nun gut. Mein Herz und meine Nerven sind irgendwie an der Decke - wieso auch immer, ne?
Aber gut, ich habe es mir natürlich nicht verkneifen können, die Passwortstärke der Administratoren zu testen.

Es gibt laut der Tabelle 'dk_admins' drei Administratoren.

136 | bonkers | dfcc53d9a2*********7d3581deebdb
135 | root | d1502252e*************391855
183 | darkside022 | 819b7**************7ecbda

Zwei von drei Passwörtern wurden mit der GPU Bruteforce Methode innerhalb von 10 Minuten geknackt.
Ein kleiner Beweis für die, die immer Beweise wollen.

anonstream.com - Admin - Proofscreen - 1

anonstream.com - Admin - Proofscreen - 2

Und zum Abschluss noch eine Kleinigkeit.

Impressum / Anschrift wird morgen aktualisiert <-

Mehr habe ich nicht zu sagen.

Update:
Da hier einige der Meinung sind, es würden keine Logs exisitieren, gibt es hier einen Proofscreen vom Inhalt der Tabelle 'dk_getdownloads':

IP Log Proof

Schönen Abend noch.
Deniz.

Ich habe in einem Forum von dieser Seite erfahren.
Um was es geht? Ich zitiere hier mal den Vorstellungstext von der besagten Seite:

Jemanden im Straßenverkehr gesehen und nur das Kennzeichen gemerkt? Flincar basiert auf dieser Fragestellung. Sieht man eine Person in oder auf einem Fahrzeug und hat man hat sich das Kennzeichen gemerkt, kann man für diese Kennzeichen einen Eintrag hinterlassen. Der Inhalt dieser Nachricht kann sowohl positiv als auch negativ sein. Positiv im Sinne eines Lobes der Fahrweise, oder aus Bewunderung für beispielsweise ein schönes Auto. Vielleicht dient die Nachricht aber auch zum Kennenlernen neuer Personen. Der Eintrag kann allerdings auch negativ formuliert sein, sollte dann aber weder ausfallend noch unbegründet sein. Er sollte eher als Hinweis dienen für den Fall, dass ein Fahrer oder eine Fahrerin sich im Straßenverkehr falsch verhalten hat. Flincar hilft also sowohl bei der Kontaktaufnahme zwischen verschiedenen Personen, als auch der erhöhten Aufmerksamkeit im Straßenverkehr.

Die Idee finde ich persönlich sehr schwachsinnig.
Wo soll der Sinn sein, sein Autokennzeichen zu registrieren und dann soll man Leute kennenlernen bzw. kommentieren usw.?
Das würde wohl zum Großteil in Trolling und Beleidigung enden.
Mal abgesehen davon, dass sicher niemand noch eine Social Website braucht, bei der auch noch die Kennzeichen dem Vornamen, Nachnamen, der Adresse, Mailadresse usw. zugeordnet werden kann.

Nun gut, man soll Ideen respektieren.
Die Webseite ist nun mal online, also kann ich sie mir anschauen. Gedacht, getan.
Mit einem (wie soll man das jetzt nicht beleidigend, aggressiv und ausgerastet beschreiben?) Ergebnis, dass schlimmer aussieht als folgende Leckerei:

Schweizerkäse - www.n-tv.de

Ich habe einige Cross Site Scripting [XSS]-Lücken gefunden und SQL Injection Lücken.
Zu den XSS Lücken gibt es eigentlich nicht viel zu sagen, diese existieren auf sogut wie jeder Seite.

Hier geht es mir aber um die SQLi Lücke.
Ich staunte nicht schlecht, als ich mir bei der Abfrage den Datenbankbenutzer ausgeben lies: root@localhost

www.flincar.com - SQL Injection - User

Da war wohl jemand zu faul, einen eigenen Benutzer mit beschränkten Rechten zu erstellen oder wurden anderweitig Sicherheitsmaßnahmen ergriffen?
Schauen wir mal nach.

Nach dem ich diese Ausgabe sah, erweiterte ich die Abfrage, um am Ende noch mehr zu staunen.
Keinerlei andere Sicherheitsmaßnahmen, nicht mal die simpelsten Methoden wurden angewandt.
Somit war es mir auch möglich, Zugriff auf die bestimmte System & Webfiles zu 'erabfragen'.

z.B. die passwd Datei unter /etc/passwd.
oder auch die config.php

$mysql_host = "localhost";
$mysql_user = "root";
$mysql_pass = "***";  //Zensiert, bursali.
$mysql_base = "flincar_com";

So könnte man das weiterführen und andere Dokumente auslesen, wie z.B. die functions.php, mit hardcoded Maildaten.
(Man beachte die Funktion.)

function usermail($muserid, $m_text, $m_subject) {
	$muserqry = mysql_query("SELECT * FROM users WHERE id=$muserid LIMIT 1");
	$muserinfo = mysql_fetch_array($muserqry);
 
	if($muserinfo["allowmails"]==1) {
 
 		$m_from = "****";
 		$m_to = $muserinfo["email"];
 		$m_subject = $m_subject;
 		$m_body = $m_text;
 
		 $m_host = "****";  //Zensiert, bursali.
 		$m_username = "****";  //Zensiert, bursali.
 		$m_password = "****";  //Zensiert, bursali.
 
 		$headers = array ('From' => $m_from,
 		  'To' => $m_to,
 		  'Subject' => $m_subject);
 		$smtp = Mail::factory('smtp',
 		  array ('host' => $m_host,
  		   'auth' => true,
  		   'username' => $m_username,
  		   'password' => $m_password));
 
 		$mail = $smtp->send($m_to, $headers, $m_body);
	}
}

Wie Ihr sehen könnt, kein Problem an sensible Daten zu kommen.
Noch schöner ist es, wenn PhpMyAdmin online erreichbar ist und man sich theoretisch einfach mit den obigen Daten einloggen und ein Dump der Datenbank ziehen könnte oder sich selber zum Admin machen usw.

Zuletzt bleibt zu sagen, dass man keine 'social'-Seite eröffnen sollte, solange man nicht in der Lage ist, sauber zu programmieren und vor allem dann nicht, wenn man die einfachsten Serverkonfigurationen nicht anpassen kann bzw. zu faul dafür ist.

Lustig ist auch, dass ein paar Tage nach meiner Mail die Seite & die Domain geändert wurde.
Also wundert Euch nicht, wieso im Titel zwei Domains genannt werden.

bursali's vulnerability database | www.flincar.com ~ SQL Injection & Cross Site Scripting

Update:

Es freut mich, dass ich nach diesem Artikel zwei eMails erhalten habe.
Ich bedanke mich hier bei Herr Lauer für seine Reaktion & Einsicht.
Der Bitte gehe ich gerne nach.

Ich würde Sie bitten den Artikel zu entschärfen, wir haben bereits
auf die Probleme reagiert und hoffen dass das Projekt keine erheblichen
Sicherheitslücken mehr aufweist.

Daher würde ich Sie höflichst bitten den o.g. Satz zu entfernen, da
auch die Mitgliederzahlen auf flinyu nicht veröffentlicht wurden.

PS: Sie schreiben "Das würde wohl zum Großteil in Trolling und Beleidigung enden"
aktuell ist es doch so, dass die Nachrichten zum größten Teil positiv sind.

Wir bleiben bemüht Beleidigungen und Anprangerungen zu unterbinden. Flinyu
soll dienen um Kontakte herzustellen und auch (wie Sie es tun) im öffentlichen
Interesse zu handeln.

Schönen Abend,
Deniz.

Aber ich muss jetzt einfach was schreiben.
Also,
1. Ich hasse Satzzeichenrudel!
2. Wieso zum Teufel spammst/spammt du/ihr mich zu? oO
3. Bitte hör/hört auf, über 30 Mails (!) zu verschicken, nur weil angeblich der Button nicht funktioniert.
4. Der verdammte Tweet Button funktioniert! -> Bestätigt durch NoNameMT & mir persönlich.

Why?

Oh meine Nerven..

Gute Nacht.
Deniz.

Das die Amis bei manchen Sachen etwas krank im Kopf sind, ist uns bewusst.
Aber dieses - geile - Video wird wohl noch lange ein Thema sein, wenn es um das Thema Respekt und Wortwahl gegenüber den eigenen Eltern geht.

Der Herr im Video ist ein Informatiker & hat erst neulich den Laptop seiner Tochter geupgraded und konfiguriert.
Seine Tochter (klingt wie ein kleines, verwöhntes Mädchen), schreibt einen langen "Brief" auf Facebook, wo sie von ihrem Leben erzählt und wie scheisse ihre Eltern sind usw.
Draufhin schnappt sich der Vater den Laptop, seine 9mm & bringt es auf den Punkt!

Einfach anschauen, der Brief wird vom Vater vorgelesen & kommentiert.

Schönen Sonntagabend noch,
~bursali.

Habe im Spamordner gerade interessante oder soll ich lieber sagen niveaulose und kindische Mails gefunden.
Zuerst hat mir 'dein Schatten' eine schöne eMail geschrieben, die ich euch natürlich nicht vorenthalten will:

Von:
Dein Schatten
rolf.herricht@web.de

Nachricht:
Hallo Du Türken-Cracker,

deine große Fresse ist wirklich erstaunlich.An deiner Stelle würde
ich mich im tiefsten Ostkanakistan vergriffen.Du Gauner.
Und deine Witzeleien werden Dir noch vergehen.Also lieber Izmir Übel
die Füße stillhalten mein Ausländer Freundchen.

und dann kam später von 'Aaaonns' eine Mail.

Von:
Aaaonns
hallmann@web.de

Nachricht:
du türke

deine große fresse wird jetzt gestopft.
fuck the blackhates.

fight for anonymous
AAAonNS Crew

Fangen wir mal bei der ersten Mail an.

1.) Ich bin kein Cracker, meine Programmierkünste sind nicht so perfekt.
2.) Ich habe _keine_ große 'Fresse'. - Danke.
3.) Was ist das bitte für ein 'deutscher' Satz? Grauenhaft. "An deiner Stelle würde ich mich im tiefsten Ostkanakistan vergriffen"
4.) Hast du ein neues Land bzw. eine neue Region erschaffen? Also auf der Weltkarte gibt es sowas nicht. 'Ostkanakistan'
5.) Schön, dass Du meine Witze als Witz aufnimmst.
6.) Meine Füße stehen still, ich liege gerade auch gemütlich auf der Couch, 'mein Freundchen'.

Zur zweiten Mail:

1.) Gut erkannt, ich bin türke.
2.) Also, wie schon oben erwähnt, ich habe _keine_ große 'Fresse'. - Danke.
3.) 'fuck the blackhates.' Äh. Was? Meinst wohl 'blackhats'. Outsch. Außerdem bin ich kein Blackhat. *facepalm*
4.) Netter Crewname. 'AAAonNS Crew' -> Alles Anal Arr on NS Crew? Wuhu.

Schönen Abend noch.
~bursali.

Heute habe ich im Feedreader den Artikel von loewenherz gefunden, wo es um SOPA & Co. geht.
Wie Ihr auch bei Ihm lesen könnt, ist am 18.Januar eine 'Blackout'-Aktion angesetzt.

An diesem Tag werden sich Google, Identi.ca, reddit.com und andere große Seiten bei dieser Aktion beteiligen.
Informationen findet Ihr auf americancensorship.org

Aus diesem Grund habe ich auf der Arbeit schnell ein quick n' dirty Script geschrieben, mit dem Ihr ganz einfach an dieser Aktion teilnehmen könnt.
Beschreibung und Anwendung sind im Script enthalten.

Script findet Ihr auf:
Pastebin

edit:
Danke an Z4ppy für die Info in den Kommentaren, habe wohl was verpasst auf der Arbeit.
Arbeit Y U so long!? *facepalm*

Mit freundlichen Grüßen,
~bursali

In einem ausländischen Internetforum berichtet ein User bzw. ein Hacker von einer extremen Sicherheitslücke einer Bank.
(Aus Sicherheits- und Datenschutzgründen werde ich in den folgenden Screenshots einige Daten zensieren.)

Userpost - #1

Wie man aus seinem Text entnehmen kann, arbeiten die Hacker gerade an einem Deface der Bank, was allem Anschein nach nicht sehr einfach zu werden scheint.

Bei einem weiteren Beitrag veröffentlicht der Hacker einen Datensatz deutscher Kreditkartendaten und begründet dies mit dem Satz:
"Nein, wir tun es weil wir es können - und wenn Banken Euer Geld nicht absichern können, wer dann?"

Userpost - #2

Hier ein Auszug aus seiner Veröffentlichung:

CC Dump

In dem Datensatz befinden sich mehr als 3000 Kreditkarten deutscher Personen.
Ich werde den CC Dump an die Kreditkartenunternehmen weiterleiten und um eine Sperrung bitten, ich hoffe dieses Mal hören die Kreditkartenunternehmen auf Mails..

Mit freundlichen Grüßen,
~bursali

Ich wünsche Euch allen frohe Weihnachten und eine schöne Zeit mit Euren Freunden und Verwandten.
Lasst Euch reichlich beschenken und genießt die Feiertage.

Schönen Samstag,
~bursali

Vor ca. zwei Wochen habe ich auf der PayPal Labs Seite XSS Lücken gefunden und diese an die Site Security Stelle von PayPal weitergeleitet.
Einen Tag davor hatte ich noch eine Kleinigkeit an PayPal weitergeleitet, dabei warnten mich HooHead und Uwe davor, dass PayPal ziemlich streng bei so etwas vorgeht. Dieses Verhalten hatte man auch schon öfter in den Medien beobachten können.

Nicht einmal zwölf Stunden nach dem ich die Mail an PayPal gesendet hatte, bekam ich eine Antwort, mit der Bitte, den Anhang mit einem Passwort zu verschlüsseln und die Endung umzubenennen, weil die Anhänge sonst herausgefiltert werden würden. Gesagt getan. Danach lief alles sauber. Gestern bekam ich die Bestätigung, die ich angefragt hatte, um die Vuln zu veröffentlichen.

Ich bin sehr positiv überrascht von diesem Verhalten. Hätte ich ehrlich gesagt nicht von PayPal erwartet, die Leute beim SecTeam von PayPal scheinen wohl begriffen zu haben, dass solche Tipps nett gemeint sind und nicht provokativ etc.

Zur Vuln:
bursali's vulnerability database | www.paypal-labs.com ~ Cross Site Scripting

Wünsche Euch noch einen schönen Freitag,
~bursali

Seit langer Zeit mal wieder ein Blogbeitrag und dieses Mal auch ein schöner.
Ich habe letzte Woche ein paar Cross Site Scripting Vulns beim Adventskalender der Postbank gefunden und diese direkt gemeldet.
Als am nächsten Tag eine Antwort im Mailfach war, war ich erstaunt. So schnell, um genau zu sein, innerhalb von 24 Stunden, antworten die Kontaktleute eigentlich nie.
Und dieses Mal war es keine 'Lassen Sie uns damit in Ruhe'-Mail, Anklage-, Drohmail etc.
Es war eine nette eMail mit dem Hinweis, dass es direkt weitergeleitet wurde und man mich benachrichtigt, wenn alles gefixxt ist.
So ließ die zweite Mail nicht lange auf sich warten, mit einer Erklärung, einem Dankeschön und dem Hinweis, das man alles gründlich überprüft habe und alles sauber ist.

Genau SO einen Gesprächspartner wünscht man sich!

Zu der Vuln geht es hierlang:

bursali's vulnerability database | www.adventskalender.postbank.de ~ Cross Site Scripting

Mit freundlichen Grüßen,
~bursali

Lange wurde dieser Tag erwähnt, sei es in den Medien, im Twitter oder im Irc.
Schon die ganze Zeit haben bestimmte Twitteracounts wie AnonOps oder Sabu betont, dass sie nicht wissen, von wem diese Aktion gestartet wurde und das diese Aktion keinen wahren Anteil hat.

So auch in den letzten Tagen im Twitter nachzulesen.
Hier mal ein Screenshot von AnonOps:

AnonOps - #opFacebook Fake - Twitter

Sowie von Sabu, der diese Aktion für 'nicht fruchtbar' hält. Außerdem betont Er, dass die einzige effektive Möglichkeit, das Facebooknetzwerk zu bekämpfen, das Abbrennen der/des Datencenter(s) ist.

Sabu - #opFacebook Fake - Twitter

Sabu - #opFacebook Fake - Twitter #2

Ich denke Sabu hat mit seiner indirekten Aussage, dass man Facebook per DDos nicht in die Knie zwingen kann, Recht. Trotzdem kann man gespannt sein, was der Tag so bringen wird. Große Überraschungen sollten aber ausbleiben. (;

~ Update
Ich habe heute einen Link im Twitter zugesandt bekommen, wo die Person hinter der #opFacebook Aktion enttarnt wurde. Hier sieht man wieder, dass Anonymous zum Größtenteil kein Kinderverein ist.
Pastebinlink | Mirror

Schönen Samstag wünsche ich Euch,
~bursali.

Vor ein paar Tagen bin ich auf den YouTube Channel von Becks gestoßen, wo Er Sceneuser interviewt.
Die Idee hat mir auf Anhieb gefallen und deshalb gibts hier eine Empfehlung für Ihn.

Besucht mal seinen Kanal: BecksScene - YouTube

Was ich allerdings bemängeln muss, ist die Lautstärke der Interviews.
Die Gäste sind meist sehr leise und Becks sehr laut. Hat man dann noch ein Headset an und will dem Gast zuhören, muss man lauter machen, redet dann Becks, fliegt einem das Gehörorgan ins All.

Mit freundlichen Grüßen,
~bursali

Gerade habe ich auf UndergroundNewz einen Artikel gefunden, welcher von einem Relaunch des ehemaligen HackSector.cc Boards unter der neuen Domain HackSector.com berichtet.

HackSector.com - Screenshot

Unter HackSector.com läuft ein Counter, welcher am 1. Januar 2012 um 16 Uhr abläuft.
Eine ungewöhnliche Zeit.

Schauen wir uns die Seite und ein paar Details näher an.

Zuerst der Server, auf dem die Seite aktuell zu erreichen ist.

Die Seite liegt auf einem Shared Server von alfahosting, also in Deutschland.
Moment mal, ein Hacking-/Crackingboard auf einem DE-Server?
Ich tendiere hierbei zu einem Übergangsspace, bis der richtige Server eingerichtet bzw. online ist.

Nun die Domain, HackSector.com.

Die Domain wurde am 26. Oktober 2011, also vor 5 Tagen bei united-domains registriert.
Ablaufen tut diese laut Domaininformation am 26.10.2012.

Registriert ist die Domain auf folgende Personendaten:

Gökhan polat
Mühlstr 5
Herrenberg
DE
71083
+49.7032934176
studi0@gmx.de -> zu ratmal@gogle.com am 31.10.2011

Kurz nachdem ich angefangen habe diesen Artikel zu verfassen, wurde die Mailadresse von studi0@gmx.de auf ratmal@gogle.com geupdated. Da wollte sich wohl jemand beeilen und hat das eine 'o' bei Google vergessen?
Btw. 'ratmal' -> Raten müssen wir nicht mehr, weil die Mail von einigen Whois-Diensten schon gequeryt & gecached wurde, somit findet man diese sehr schnell wieder. (;

Sucht man auf GoogleMaps nach diesen Daten, findet man unter dieser Adresse eine Fahrschule:

Fahrschule Gfrörer
Mühlstraße 5
71083 Herrenberg

Somit scheinen die angegebenen Personendaten fake zu sein.
Outsch, das gefällt united-domains definitiv nicht. Gab in der Vergangenheit genug Fälle, wo Domains mit falschen Daten gesperrt worden sind.

Hier fällt mir was ein, wie wurde die Domain bezahlt?

Zahlungsmöglichkeiten - United-Domains

United-Domains bietet nur Zahlungen per Lastschrift bzw. Kreditkarte an. Für eingetragene Firmen im Handelsregister noch zusätzlich auf Rechnung/Überweisung.
Somit wäre theoretisch eine anonyme Zahlung nicht möglich.
Evtl. nur per Prepaid CC.

Social Networks

Schaut man auf der Seite nach, findet man zwei SN-Accounts, Facebook und Twitter.
Hm, ein Facebookaccount für ein Board im grauen Bereich? Naja.

Bei Twitter findet man unter anderem folgende Fragen/Antworten.

1.)

Frage #1 - Twitter

Antwort #1 - Twitter

2.)

Frage #2 - Twitter

Antwort #2 - Twitter

Hm, was erfahren wir?
1. Neues Team - muss aber nicht negativ sein.
2. Es heißt also nicht Fraud sondern 'froud'. - Rechtschreibung?
3. Die Domain hacksector.cc sei vergeben - eigentlich ist die Domain geparkt, also kann man Angebote abgeben.

Team Member Suche

Danke an zzaxx für die Information via Kommentar. (:
Die Altersgrenze ist definitiv zu niedrig angesetzt.

Laut ihrem FB suchen sie auch noch Team Member:
“Wir suchen Verstärkung für unser Team! Du bist mind. 14 Jahre alt, und möchtest gerne anderen Usern helfen? – dann bewirb dich als Forenmoderator!”
Hmm, kann sein, dass ich das falsch deute, aber diese Altersgrenze mutet doch schon ein bisschen gewagt an. Meiner Erfahrung nach ist diese Altersklasse leider meist auf Scriptkiddy Ebene und ich hoffe mal, dass das dann nicht stellvertretend für den Rest des Boards stehen wird.
Aber man soll ja nicht immer negativ an Sachen rangehen, vielleicht wird das auch alles besser als man jetzt noch denkt, lassen wir uns überraschen. ;D

Abschließend.

Viel gibt es nicht zu sagen.
Eine Domain für ein Hacking-/Crackingboard bei UD zu registrieren ist schon mutig genug, dann noch mit falschen Personendaten, ist das sozusagen ein Suizidurteil.
Eine Mail an UD würde sicherlich ausreichen, um die Domain zu sperren.

Ein Webspace in DE, wo ich allerdings denke, dass es temporär ist, ist trotzdem 'dumm' genug, da hierbei die Anonymität = 0 ist.

Es wird sich zeigen, was aus diesem Projekt werden wird.

Mit freundlichen Grüßen,
~bursali

Zuallererst, vom Erdbeben in Türkei war ich nicht betroffen, weil ich nicht im Osten sondern eher im Nordwesten der Türkei wohne.

So, nun zum eigentlichen Thema. Die Happy Ninjas sind back und dieses Mal mit einem Riesenpaket!
Hier eine Liste:

• St0re.cc
• El-Basar.biz
• The Happy Ninja Faker alias 3lite
• Swissfaking.net
• Vpn24.org
• Undercover.su
• k!LLu's Botnet
• Secure-Host.in
• Unique-Crew.net
• Zion-Network.net
• Hackbase.cc
• "Some leftovers including union-district.cc, cyberbase.us and secret-network.biz"

Würde ich zu jedem Punkt etwas schreiben, würde ich wohl noch morgen abend hier sitzen.
Deshalb beende ich den Beitrag hier und wünsche Euch viel Spaß beim Lesen und Lachen. (;
Aber eines kann gesagt sein, dieses Mal gibt es einige interessante Informationen.

Happy Ninjas - exp03

Happy Ninjas - exp03 - Backup

Btw. das Outro ist sehr schön geschrieben.


It's been one and a half year since we pub-
lished exp01. Three ezines full of ownages and
stories isn't a bad figure, is it? At least we
think that those and especially this one will
cause enough fear for the feature and people will
realize that there are still some guys left who continue to preserve
the spirit of the underground, like real hackers used to. Hackers do
not sell credit cards. Hackers hack, that means breaking into
computer systems and striving for perfection. That's our opinion, even
if most don't believe that way. We ourselves will never stop hacking.
Designing new backdooring techniques and farming 0days has become a
way of life. Owning people who deserve it and collecting data has
become a mental belief. We will be prepared for the future, even if
the kids decide to switch to Windows 8. Our belts contain more 0day
bullets than ten glocks can carry and for exceptions we have our
special task force at the Gorch Fock. No matter what, "they" will be
owned.

In the meantime we started to think that it might be worth
concentrating on the international scene, but that does not mean that
we stop observing any movement in the German one, even if we are sick
of it. Really sick. This is going to be the hash
c949d6f078f9c0661d0e91cce74e4ad16b30e7c9 whose plaintext value we are
going to publish in our next release so you better watch out! With
these last words we finally close this ezine.

Ein Hoch auf die Happy Ninjas. *prost* (;

Mit freundlichen Grüßen,
~bursali

Lange hat es gedauert, doch endlich ist es wieder online. (;
Bzw. schon seit heute Nacht, hab heute morgen nur keine Zeit gehabt einen Artikel zu verfassen.

Statement von J0hn.X3r:

Nach einer langen Downtime, viel Quatsch und einem missglueckten Relaunch sind wir nun wieder zurueck!

Weihnachten 2010, Free-Hack wurde hacked und es war monatelang unklar, was damit passieren sollte. Es war zwar von zahlreichen Leuten interesse vorhanden, aber wem sollte man vertrauen und vorallem was macht die Person aus Free-Hack?

Erstmal eine Entschuldigung an alle, die das Fake-"Deface" in den falschen Hals bekommen haben, es ging weder darum Tuerken "schlecht dastehen zu lassen" noch irgendwelche Religionen zu kritisieren / beleidigen - sowas ist nicht meine Art. Wer sich den Quelltext angeschaut hat, dem wird sicher aufgefallen sein, dass es so schlecht wie moeglich geschrieben wurde um klar zu sagen "Hey, das ist Fake!" - Durch "wadek" (dem alten Sockenwi..) ist das ganze auch mehr oder weniger zu nem Insiderwitz geworden - den Humor teilen wohl nicht alle, sorry dafuer!

Zweitens eine Entschuldigung, dass der Relaunch sich sooooo lange gezogen hat, mich veraergert das besonders, da ich mit einigen Dingen nich so durchgekommen bin, wie ich sie vor hatte - das wird demnaechst nachgeholt! Abgesehen davon gabs es den ein oder anderen Vorfall und ich hatte in den letzten Tagen unregelmaessige Arbeitszeiten - ich hoffe ihr habt mehr oder weniger Verstaendnis.

Nun zu den erfreulichen Dingen, wie dem ein oder anderem aufgefallen ist, "erstrahlt" Free-Hack in einem alt-neuen Glanz - alt, weil das Theme bis 2009 unter phpBB im Einsatz war und neu, weils unter vBulletin fast genauso gut aussieht wie damals - da werden Erinnerungen wach! Vielen Dank an Suicide, der sich um den Style gekuemmert hat! Die "alten" Themes sind selbstverstaendlich trotzdem noch vorhanden und fuer alle Mobile User besitzen wir nun einen Mobile Style.

Das naechste was man sich beim Besuch anschaut, ist das Team - und auch hier wurde (wie man es bei F-H gewohnt ist) ein einzigartiger Mix erstellt, ueber (Ober-)Freaks bis hin zu Tieren, wir haben von allem etwas! Es gab zahlreiche Anfragen um einen Moderatorposten, aber wir sind meiner Meinung nach momentan mehr als gut besetzt.
Fuer den TeamSpeak Server ist H4x0r007 zustaendig, fuer den IRC maoshe.

Die Gruppe "Hall of Fame" stellt in erster Linie die Ex-Administratoren von Free-Hack dar - da diese Namen nicht in Vergessenheit geraten sollten.

Der naechste große Punkt ist die neue Richtung in diese das Free-Hack Bo(a)rd segelt - schauen wir uns mal alle anderen "Scene Boards" an - ist das Traurig oder soll man darueber Lachen? Fraud, vorallem Kreditkartenbetrug scheint zum "Alltag" zu gehoeren und scheinbar stoert es kaum noch jemanden. Ich bin momentan auf Back2Hack IRC nicht aktiv, aber ich kann mir vorstellen, dass dort taeglich ueber die Boards gelacht wird.

Wir bleiben unseren Grundprinzipien treu!

Ein Großteil der Leute die "ziemlich etwas drauf haben" kann von sich behaupten, er/sie war mal auf Free-Hack registriert und/oder aktiv - und ich finde auf diesen Punkt kann man aufbauen. Anfaengern wird es auf B2H ziemlich schwer gemacht, sich zu "integrieren", doch wie soll man als Anfaenger durch das Bewerbungssystem kommen? Wie soll man etwas lernen um dort rein zu kommen? Auf "Fraudboards"?! Ich denk man weiß mehr oder weniger worauf ich hinaus will, eine "Vision" waere es zu sehen, wie ein Großteil der Leute die sich bei B2H bewerben (um sich weiterzubilden) sagen kann "Ich komme von Free-Hack und kann inzwischen dies und das".

Free-Hack ein Anfaengerboard?! Aber keine Anlaufstelle fuer Scriptkiddies!

Wie man an der Forumstruktur sieht, wurde die Trojaner aka RAT Sektion Sektion (fuer alle Zeiten) verbannt, im Friedhof kann man es zwar als "Nachschlagewerk" betrachten - der Support dafuer ist aber eingestellt! Auch in der Tools Sektion! Wir wollen weder Kindern beibringen wie sie ihre "Freundinnen" infizieren, noch wie man "Schul PCs hackt".

Desweiteren ist eine Registration "nicht einfach so" mehr moeglich, sondern wir "filtern" uns Leute raus die Allgemeinwissen besitzen und/oder im Stande sind zu Googlen. Die Fragen sind jedoch ziemlich einfach gehalten - das Motto ist, Tor und Tuer fuer Anfaenger weit offen zu halten, vorausgesetzt sie nehmen etwas Eigeninitiative mit und kommen durch die Registrierung.

Die "Cracking & Hacking" Sektion stellt nun die "(In)Security" Sektion dar, in der "allgemeine Hacking" Fragen rein kommen, die nirgends reinpassen - vorallem aKiller wird ein Auge darueber haben, dass die zukuenftigen Fragen dort keinen Duennschiss beinhalten.
Auch haben wir nun 2 Schwerpunkte hinzugefuegt, einmal Application Security und Web Security - wobei es uns wichtig ist, den Usern zu zeigen, was man (beispielsweise) mit einem Buffer Overflow alles anstellen kann um die Lernmotivation zu wecken - auch in der Exploits Sektion geht es nicht mehr darum, stumpf irgendwelche Exploits zu posten.

Der Black Market ist nach wie vor vorhanden, das Limit wurde etwas hoeher angesetzt und ihr bekommt nach und nach Zugriff.

Was ebenfalls neu dazu gekommen ist, ist einerseits die Software Sektion, wo es sich lohnt die Stickys zu lesen (welche btw. fast ueberall ueberarbeitet wurden) und das Bildungs & Karriere Forum, in dem es in erster Linie dazu geht, euch im RL unter die Arme zu greifen, falls ihr Probleme mit einem Thema habt und/oder Fragen zu einem Job - auch dort gibt euch das Sticky mehr Infos darueber. Die ein oder andere Kleinigkeit wurde auch noch geaendert, aber ich moechte keinen zu langen Roman schreiben.

Einen eigenen NoPaste-Dienst wird es nicht mehr geben, wir unterstuetzen in diesem Sinne NoPaste.me - einer der besten Scene-Pastedienste! (:D)

Die "Expertengruppe" wurde entfernt, es ist meiner Meinung nach Schwachsinn, Leute die "mehr drauf haben" irgendwie besonders hervorzuheben - die Sektion wurde komplett neu strukturiert und es wird eine Sektion geben wo man sich bewerben kann und dann eine Art "Aufnahmepruefung" bestehen muss - das ganze ist mehr oder weniger noch in Planung und ihr werdet mehr darueber spaeter in den Board News erfahren - fest steht das Leute die, die Sektion dann sehen werden, keine farbliche Sondergestaltung erhalten.

Der Relaunch ist leider nicht so perfekt wie ich wollte, da ich noch ein paar Punkte auf meiner ToDo-Liste habe und es existiert noch der ein oder andere Bug (welcher aber nicht sofort auffaellt) und somit sollte das Board jedoch trotzdem Relaunchwuerdig sein.

Abschließend noch ein Danke an alle die mich unterstuetzt haben und natuerlich die treuen F-H User, die sich hoffentlich ueber den Relaunch freuen und uns nicht vergessen haben!

J0hn.X3r

So long,
~bursali