J0hn.X3r – Page 28 of 33 – Interplay of Web Security and Exploiting

Hashkiller.com sucht neuen Webmaster

J0hn.X3r / March 1, 2009June 4, 2017 / Szene News

Hallo Forum,

es fällt mir schwer diese Nachricht kund zu tun aber irgendwann musste es einfach soweit sein. Ich versuche es knapp zu formulieren.

Da sich alles mit der Zeit verändert kann sich auch mein Privatleben dem nicht entziehen. In den nächsten paar Monaten wird sich meine Lebenssituation stark ändern. Mein Virtuelles Leben wird dadurch betroffen sein dass ich kaum noch Freizeit für Projekte wie dieses haben werde. Dazu kommt dass sich meine finanzielle Lage es nicht mehr erlauben wird die Server und den Heimrechner mit dem Hashdir laufen zu lassen. Auf lange Sicht wird es also daraus hinauslaufen dass ich absolut keine Zeit mehr für Hashkiller.com haben werde. In den letzten paar Monaten habe ich es schon kaum geschafft die Ideen auf meiner Liste umzusetzten da einfach keine Zeit dafür da war. Was ich nicht möchte ist dass dieses Projekt und die Seite eine langsames Ende im Vergessen findet.

Daher habe ich mich entschlossen dieses Projekt gegen Ende des Monats (März) einem neuen Webmaster zu übergeben. Damit dieser auch fähig und daran interessiert ist dieses Projekt weiterzuführen würde ich eine Art “Schutzgebühr” von 100€ verlangen. Wer Interesse an dem Angebot hat sendet bitte ein Bewerbung an x13 {at} hashkiller.com. Es sollte in der Bewerbung stehen was man für Mittel (Server, Space, etc) und Fähigkeiten (Coden, Administrieren) hat, was man für Plane mit hashkiller.com hat, auch Referenzen sind gern gesehen. Spaßbewerbungen und welche ohne Niveau werden kommentarlos gelöscht. Es werden _nur_ Bewerbungen per Email angenommen. Für den Fall das sich keiner findet würde die Seite wohl alsbald verschwinden wie ich den Server nicht mehr bezahlen kann.

Dem neuen Webmaster würde ich die kompletten Scripte und Sourcecodes abtreten. Dies umfasst etwa 3500 Zeilen PHP5 Klassen wie unter anderem auch das Webcrack, OpenCrack und andere Hilfsklassen sowie Scriptteile. Dazu die Integration in dieses SMF Forumsystem mit Forum Datenbank. Was ausdrücklich nicht vergeben wird ist die 125GB große Hauptdatenbank sowie die Hashdir-Daten, diese sind einfach zu groß als dass man sie transferieren könnte. Jedoch gehören die Downloads und auf Wunsch auch die Rainbowtables im Mirrorsystem dazu. Die Domain die bis Juni 09 läuft inkl. DNS Zugang natürlich auch.

Es fällt mir wirklich schwer diesen Schritt zu gehen aber lieber so als einfach abschalten. Dieses Projekt hat mich seit etwa 5 Jahren begleitet, die ersten beiden noch mit ath.cx Domain und den Rest der Zeit unter hashkiller.com Ich habe viel Zeit investiert und auch manche Rückschläge hinnehmen müssen aber immer mehr gelernt als ich erhofft habe. Ich bin froh dass sich solch tolle Leute in dieser Community zusammengefunden haben die zusammen echt großes bewegen können.

Quelle & Mehr dazu: http://hashkiller.com/index.php?topic=719.msg4197

Dann hoff ich mal, dass sich jemand finden laesst und dem “alten” Admin alles Gute & viel Glueck im RL 🙂

Wochenuebersicht

J0hn.X3r / March 1, 2009October 27, 2018 / Szene News

Heyho,

heute werd ich euch meine zweite Wochenuebersicht zeigen, diesmal etwas anders gestaltet als damals. Ich werd das ganze in TOP & Flop aufteilen und paar Foren / Websiten vorstellen und dazu eine kleine Meinung sagen.

Top:

Kartoffel-hack.com home of Kartoffel-Hack & -tmh- hat gestern die 7000 (7. 016) Besucher am Tag Marke geknackt 🙂 Glueckwunsch von mir aus und auf die naechsten 7000! 😀

Coderz.ws ist online, sieht dort alles freundlich und gut aus, endlich mal wieder nen COding Board 🙂 Das Board steht unter der Leitung von Unbekannt.exe und PAN. Wuensch eurem Projekt alles Gute und das es natuerlich moeglichst lange haelt.

Hackbase.cc versucht schon seit laengerer Zeit die V2 durchzubringen und laesst sich trotz DDoS nicht runterkriegen. Find ich gut, daher ein + von mir 🙂

Sys-Flaw ist 1 Jahr alt geworden und hat inear Sys-Flaw 1 rausgebracht. Mehr dazu auf *klick*

Nazrek hat sein Lockpicking Grundlagen Exkurs 2 und den “Magic Data Extractor” (ein hilfreiches Tool fuer/bei SQL Injections) wurden auf seinem Blog released. Sieht beides super aus, daher von mir auch bei Top dabei.

NovuSec ein Projekt von Lidloses_Auge und -=Player=- hat auch einige neue, vorallem Interessante Eintraege ueber Web Security im Blog und auch 2 neue Videos bei milw0rm.com veroeffentlicht.

Flop:

MbK-Hacking wieder da? Oder doch nicht. Zuerst ging eine Massenmail durch “wir sind zurueck usw..” doch keiner kaum aufs Forum drauf?! Daraufhin stand dort, erneute Wartungsarbeiten und nun komm ich dort auf eine andere Seite…

DarkMatrix kannte ich bis vor 1h nicht. 50 registrierte Benutzer, und schon steht im Header “DarkMatrix – Scene Board No. 1” – alles klar.. Wird in meinen Augen nichts, auch ein Flop…

Code-C4 nutzt als CMS Webspell.. Hallo? Webspell? Keine Gute Wahl in meinen Augen. Wenn man sich die News anschaut, scheint denen die Rechtschreibung nicht sehr zu liegen. Nen Keylogger + FTP Funktion fuer 5 Euro? Find ich bisschen teuer, das sich jeder so nen Keylogger auch selber basteln kann, man findet dazu im Internet genug Codeschnippsel.

BZÖ Homepage wurde gehackt. Und der Verdacht geht mal wieder auf eine “Linke Webterroristen”.. die sollten sich mal ueberlegen, dass nicht nur die Linken gegen so eine Partei ist..

SwissVPN schlechter Support?! Ich hatte mal vor, mir dort einen Account zu beschaffen, per Kreditkarte gezahlt und nach 6h war mein Account gesperrt. Daraufhin “wtf?!” und Support angeschrieben.. keine Antwort. Dann mal ueber Paypal probiert, auch hier ging der Account nur wenige Minuten lang und wurde danach gesperrt. Das Geld haben sie natuerlich behalten.. das wird ein Nachspiel geben und ist in meinen Augen FLOP des Monats.

Das war meine kleine Wochenuebersicht, vllt nicht arg interessant aber so konnte ich meine Meinung zu einzelnen Seiten mal sagen. 🙂

TrueCrypt – How to crypt your USB Stick

J0hn.X3r / February 24, 2009October 27, 2018 / Tutorials

Heyho,

ihr kennt bestimmt das Problem, so ein kleiner USB Stick kann schnell mal verloren gehen. Doof, wenn dann fremde Private Sachen sehen, welche sie nicht sehen sollten. Doch wie kann man verhindern das “fremde” eure Privaten Sachen sehen? Da wir sowieso in einem Ueberwachungsstaat leben wird die Privatsphaere sowieso immer weniger, und das was ihr davon habt solltet ihr auch fuer euch behalten. Heute zeige ich euch, wie man mithilfe von TrueCrypt seine externen Speichermedien (sprich USB Sticks, externe Festplatte,…) verschluesseln kann. Ich verwende die Version 6.1a, die aktuellste Version gibts wie immer auf der Herstellerseite zum kostenlosen Download.

Es gibt mehrere Moeglichkeiten seinen USB Stick (…) zu verschluesseln, ich werde euch die komplette Verschluesselung zeigen. Das erstellen eines Verschluesselten Bereiches ist eine alternative und diese werd ich am Schluss des Tutorials posten.

Fangen wir an, wir holen uns die aktuellste TrueCrypt Version. Nun koennen wir auswaehlen ob wir es entpackt und sofort einsatzbereit oder installiert haben wollen. Ich selber habe es installiert und wuerde es auch installieren, man kann natuerlich auch den “entpackten Modus” benutzen, wenn man es nicht installieren moechte.

Danach starten wir unser TrueCrypt Fenster, das sieht dann so aus:

Waehlt nen beliebigen Laufwerksnamen aus und klickt auf “Create Volume”. Nun habt ihr die Moeglichkeit zwischen diesen 3 Optionen (Auf der Linux Version sinds nur 2 Optionen) zu waehlen:

So was sind das fuer Optionen?

1) Erstellt einen Verschluesselten Bereich

2) Verschluesselt komplett ein Speichermedium (egal ob Intern oder Extern)

3) Verschluesselt komplett die Windows Partition, mit der also auch gebootet wird (Bei dieser Option erscheint vorm Hochfahren das bekannte Passworteingabefeld).

Da ich euch fuer Methode 1) spaeter ein V-Tut von -tmh- zeig und wir ein externes Speichermedium ohne System verschluesseln wollen, waehlen wir Option 2 aus.

Danach bekommen wir folgende Auswahl:

Hier muessen wir auswaehlen, ob wir einen normales “Volumen” erstellen wollen, oder eben ein verstecktes. Wir waehlen das Normale aus, da wir im Normalfall kein verstecktes Volumen benoetigen (Mehr zum Thema Normal oder verstecktes Volumen: *klick* ).

Weiter gehts, mit Next. Nun waehlen wir unser Laufwerk aus mit einem Klick auf “Select Device..”. Ich waehle meinen 4GB USB Stick aus:

Dann auf OK, dann erfolgt eine Meldung, welche ihr nach dem Durchlesen mit “Ja” bestaetigt:

Danach sollte das ganze so aussehen:

Nach einem klick auf “Next” geht es dann weiter (den haken “Never save History” einfach drin lassen).

Nun kommen wir, wie ihr seht, zu einem wichtigen Punkt. Naemlich wie er verschluesseln soll:

1) Es wird das komplette Speichermedium verschluesselt und FORMATIERT! D.h. ALLE DATEN die drauf waren, werden GELOESCHT! Wichtig!

2) Die verhandenen Daten werden verschluesselt, d.h. es kommt zu keinem Datenverlust. Wichtig:

Diese Funktion gibt es erst seit der TrueCrypt Version 6.1 und funktioniert nur unter Windows Vista/2008!

Please note that this is not supported on Windows XP/2000/2003 as these versions of Windows do not natively support shrinking of a filesystem

und

Ability to encrypt a non-system partition without losing existing data on the partition. (Windows Vista/2008)

Da sich auf meinem USB Stick im Moment eh keine Daten befinden, welche ich 1) aus. Wer Windows Vista hat && Daten auf seinem USB Stick/externe festplatte,.. der nimmt bitte die Option 2) oder erstellt nen Container!

Mit einem klick auf Next geht es dann weiter. Nun kommen wir zum spanndenden Teil, naemlich das Auswaehlen einer Verschluesselung:

Fakt ist, es sind alle sicher. Vorraussetzung man hat ein gutes Passwort gewaehlt. Bei einem “schwachen” Passwort nuetzt die staerkste Verschluesselung nichts 😉

Joa sucht euch was aus, GODFATHER von F-H hatte damals bei nem V-Tut Twofish-Serpent glaub ich genommen, die meisten nehmen nur AES, da es das “schnellste” ist und zudem natuerlich auch noch sicher. Ich selber benutze AES-Twofish fuer meinen USB Stick. Danach duerfen wir uns nen Hash Algorithm auswaehlen, gibt 3 zur Auswahl RIPEMD-160, SHA-512 und Whirlpool. Ich werde hier Whirlpool verwenden (Mehr zu den verschiedenen Hash Algorithmen hier ).

Im naechsten Fenster duerfen wir einfach auf “Next” klicken:

Nun kommen wir zu einem wichtigen Feld, naemlich das PW welches wir auswaehlen. Wie gesagt, wichtig ist, dass es ein Langes PW mit moeglichst vielen Zahlen und Sonderzeichen hat. ß,@,€ sind nicht erlaubt, da es die auf amerikanischen Tastaturen nicht gibt.

Dann gebt ihr das PW ins zweite Feld ein, lasst den rest so wie er ist und klickt auf Next.

So nun kommen wir zu einem interessanten Feld, denn wir duerfen nun mit unserer Maus einen “Random Pool” auswaehlen:

Einfach mit eurer Maus im Fenster herumbewegen, so dass sich die Zahlen alle aendern und ein moeglichst zufaelliger Wert ausgewaehlt wird. Danach klickt ihr auf Format.

Meldung mit einem Klick auf “Ja” bestaetigen:

Nun einfach abwarten und zuschauen:

So nun wenn es fertig ist, klicken wir einfach auf “OK” bei der naechsten Meldung:

danach wieder auf “OK”:

Sind nun doch recht viele Bilder. Beim naechsten Fenster klicken wir einfach auf Exit.

Nun es gibt 2 Moeglichkeiten unseren USB Stick auszuwaehlen, entweder ueber klick auf “Select Device..”, dann unsern USB Stick auswaehlen, auf “OK” klicken und dann auf “Mount” klicken, oder wir machen es uns bequem und klicken einfach auf “Auto-Mount Devices”.

Danach im folgenden Feld:

Euer PW rein und auf “OK” klicken. Wenn alles gut geht, erscheint nun:

Und dann im “Arbeitsplatz”:

So ich hoffe dieses Tutorial hat euch geholfen, euren USB Stick (…) sicher und einfach mithilfe von TrueCrypt zu verschluesseln. Damit auch ihr, wenn fremde auf eurer Speichermedium zugreifen wollen, “Truecrypt wins” sagen koennt 😉

So wie versprochen gibt es natuerlich noch die Moeglichkeit das alles in Form eines verschluesselten Containers zu machen. -tmh- von Kartoffel-hack.com hatte dazu ein nettes, auch verstaendliches Video Tutorial erstellt, welches ihr hier sehen koennt: http://www.kartoffel-hack.com/wordpress3/?p=142 bzw hier.

Phishing meets XSS – A Powerful Duo

J0hn.X3r / February 24, 2009January 4, 2015 / Tutorials

Titel: “Phishing meets XSS – A Powerful Duo”
Author: Cheese
Date: 22 February 2009
Site: cheese.1x.to
Mail: cheese[at]mymail[dot]ch

    1. --- Introduction

    2. --- The Phishing Site
    2.1 -- Customize the Login Form
    2.2 -- Make the logging-Script

    3. --- The XSS Vulnerability
    3.1 -- Include our JS Source
    3.2 -- Build an IFrame for our Phishing page

    4. --- Outro
    4.1 -- Closing Words
    4.2 -- Credits

http://cheese.5x.to/tutorials/xssphish.txt

Datenschutzdemo am Aschermittwoch

J0hn.X3r / February 23, 2009February 23, 2009 / Szene News

Hab gerade mitbekommen, dass in Mainz eine Datenschutzdemo am Aschermittwoch statt findet. Waere das nicht so weit weg, waere ich auch mitgekommen 😉

“Wir machen eine kleine Demo mit Infostand, verteilen Flyer und zeigen unseren Protest gegen die Überwachungspolitik der Bundesregierung und der Großen Koalition auf Transparenten”, kündigen die Überwachungsgegner an. Treffen ist um 17 Uhr, eine Stunde vor dem geplanten Auftritt Schäubles, vor dem Anwesen der Wormser Straße 201 in Mainz.

“Bei dieser Gelegenheit werden wir Herrn Schäuble zeigen, dass wir den fortschreitenden Grundrechteabbau und die Überwachungspolitik der Bundesregierung nicht akzeptieren. Schon bei Schäubles letztem Besuch in Mainz-Bingen haben wir unseren Protest zum Ausdruck gebracht. Der Innenminister muss bei jedem Auftritt spüren, dass seine Überwachungspolitik in der Bevölkerung auf Widerstand stößt. Wir rufen alle Menschen aus Mainz und Umgebung dazu auf, am Mittwoch für eine neue, freiheitsfreundliche Innenpolitik zu demonstrieren. Freiheit muss wieder einen entscheidenden Stellwert erlangen, unsere Grundrechte dürfen nicht durch immer neue und schärfere Überwachungsgesetze ausgehöhlt werden. Überwachung erzeugt Angst und verhindert kritische Reflexion und freie Meinungsäußerung. Sie ebnet den Weg in eine kritiklose Gesellschaft”, erklären die Aktivisten ihre Ziele im Demo-Aufruf. Sie fordern eine Überprüfung bestehender Überwachungsmaßnahmen und einen Abbau besonders drastischer Maßnahmen wie der Vorratsdatenspeicherung sowie einen sofortigen Stopp bei der Einführung neuer Überwachungsbefugnisse.

Organisiert wird das ganze von

einem Aktionsbündnis bestehend aus der Grünen Jugend, der Linksjugend [solid], der Piratenpartei, dem Arbeitskreis Vorratsdatenspeicherung, dem Chaos Computer Club und der LandesschülerInnenvertretung Rheinland-Pfalz.

Quelle: http://www.gulli.com/news/mainz-datenschutzdemo-am-2009-02-22/

Find ich gut, ich hoff das sowas mal in Stuttgart stattfindet, dann werde ich (ganz bestimmt) mit Patrick_B aka Nazrek auch dabei sein 🙂

Im Laufe des heutigen Tages folgt dann noch entweder eine neue Sicherheitsluecke, welche ich aufdecke oder nen kleines Tutorial ueber Truecrypt, wenn wir grad beim Thema Datenschutz sind 😉