Hallo,

habe einen kleine Bug gefunden.

Er ist ganz leicht zu reproduzieren.
Klickt einfach den ersten Link an, und gleich darauf den zweiten - und schon steht neben eurem Namen, dass ihr im Admin-CP seid.
http://www.vbulletin-germany.com/forum/admincp/forum.php
http://www.vbulletin-germany.com/forum/online.php?order=desc&sort=time&pp=25&page=1
Dort seid ihr aber nicht wirklich drin, sondern es wird euch nur der Anmelde-Bildschirm gezeigt.

Das ist ein "prinzipieller" Fehler in der Aufenthalts-Ort Anzeige, da diese von der Adresse ausgeht, auf der man sich befindet.

Muss nicht sofort gefixt werden, wollte ich nur mal so zum Spaß posten, um das mal zu zeigen, und anderen Admins ein wenig den Schrecken nehmen, wenn sie das mal bei ihrem Board entdecken sollten.

Viele Grüße,
Stefan

Das is ja interessant.. Hier ma ein foto dazu....
http://vbg.halloo.de/bugs/wioadmincp.jpg

Was ist daran falsch?

Im prinzip stimmt doch die anzeige sie geht davon aus das wenn du den admincp link aufrufst auch da aktiv bist.

Habe das schon länger aber da der Admin Bereich eh geschütz ist ist das so reichlich egal.

Das passt sehr gut dazu im übrigen... Hatte ich fast vergessen.
http://www.vbulletin-germany.com/forum/showpost.php?p=93629&postcount=155


@StGaensler (unter mir@htaccess): Oder Tarnung: http://halloo.de/admincp/ :D

Was ist daran falsch?

Im prinzip stimmt doch die anzeige sie geht davon aus das wenn du den admincp link aufrufst auch da aktiv bist.
Ja, wenn man vom Code her ausgeht, stimmt das ja - allerdings ist der Benutzer nicht "wirklich" im Kontrollzentrum, sondern sieht nur den Anmelde-Bildschirm.

Wenn man übrigens http://www.vbulletin-germany.com/forum/admincp aufruft, steht dort: Meldet sich im Administrator-Kontrollzentrum an

Aber der sicherste Schutz ist natürlich .htaccess :)

Das passt sehr gut dazu im übrigen... Hatte ich fast vergessen.
http://www.vbulletin-germany.com/forum/showpost.php?p=93629&postcount=155
Ups...

Aber da sollte dann immer das Stop-Schild kommen - was es beim Admin-CP nie macht.


@StGaensler (unter mir@htaccess): Oder Tarnung: http://halloo.de/admincp/ :D
Stimmt, das ist auch intelegent gelöst :)
Mich verwirrt es nur ein wenig, dass das Passwort schon eigegeben ist...

Du könntest es ja so lösen, dass der Benutzer eingeben kann, was er will, und nach dem Klick auf "Anmelden" immer wieder auf diese Seite zurück geleitet wird, und das Passwort-Feld wieder leer ist, damit der "Hacker" seinen nächsten Versuch starten kann.

Ich stelle mir das gerade so lustig vor: Da denkt dann einer, er hackt dein Forum, aber das Kennwort wird er nie herausbekommen :)

Ups...

Aber da sollte dann immer das Stop-Schild kommen - was es beim Admin-CP nie macht.


Stimmt, das ist auch intelegent gelöst :)
Mich verwirrt es nur ein wenig, dass das Passwort schon eigegeben ist...

Du könntest es ja so lösen, dass der Benutzer eingeben kann, was er will, und nach dem Klick auf "Anmelden" immer wieder auf diese Seite zurück geleitet wird, und das Passwort-Feld wieder leer ist, damit der "Hacker" seinen nächsten Versuch starten kann.

Ich stelle mir das gerade so lustig vor: Da denkt dann einer, er hackt dein Forum, aber das Kennwort wird er nie herausbekommen :)


stimmt bei mir kommt eh erst ne httaccess abfrage

Ich stelle mir das gerade so lustig vor: Da denkt dann einer, er hackt dein Forum, aber das Kennwort wird er nie herausbekommen :) -jaja- .. zumal mein Admincp hier ist: http://halloo.de/admincp-vb/ .. aber auch das ist es nicht wirklich!! Könnte auch das hier sein: http://halloo.de/admincpdir/ .... :D oder doch nicht..?

nur wie krieg ich so ne schleife hin?

Wie hast du das mit der Berechtigungsseite gemacht die kommt wenn man auf abbrechen klickt ...

-jaja- .. zumal mein Admincp hier ist: http://halloo.de/admincp-vb/ .. aber auch das ist es nicht wirklich!! Könnte auch das hier sein: http://halloo.de/admincpdir/ .... :D oder doch nicht..?
Loool :D

Das rot tut ja in den Augen weh :)
Muss ich jetzt damit rechnen, dass die Polizei bei mir vor der Tür steht, weil meine IP geloggt wurde??? ;)

Nun aber wieder back to topic:

nur wie krieg ich so ne schleife hin?
Stell das Formular einfach so ein, dass es ein "POST" auf die selbe Seite (Login-Formular) macht - die PHP Seite muss die post-Daten ja nicht auswerten.

Ich glaube, GET würde auch gehen - einfach ausprobieren


Wie hast du das mit der Berechtigungsseite gemacht die kommt wenn man auf abbrechen klickt ...
http://de.selfhtml.org/diverses/htaccess.htm#optionen
Und so dann eine Seite für den Fehler 401 (Authorization Required) erstellen.

in die .htaccess folgendes eintragen...
ErrorDocument 401 /401.php dann die 401.php anlegen. hier meine 401.php
<?xml version="1.0" encoding="iso-8859-1"?>
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html dir="ltr" lang="de">
<head>
<title>Authorization Required - ErrorDocument 401</title>
<meta name="robots" content="noindex,follow" />
<meta name="googlebot" content="noarchive,follow" />
<meta name="generator" content="Edit4Win" />
<style type="text/css"><!--
body { background-color: #FF0000; color: #FFFFFF; font: 12pt verdana, geneva, lucida, 'lucida grande', arial; margin: 20px 20px 20px 20px; padding: 0px; }
a:link { color: #FFFFFF; }
a:visited { color: #FFFFFF; }
a:hover, a:active { color: #FFFFFF; }
--></style>
</head>
<body>
<br />
<div align="center"><strong>Keine Berechtigung! - Fehler Dokument 401</strong></div>
<br />
<div align="center">Halloo. Der Zugriff auf dieses Verzeichnis wurde verwehrt. Falls du autorisiert bist, das geforderte Dokument aufzurufen, kontrolliere bitte noch einmal die Daten, die du eingegeben hast.
<br />Deine IP <?php $ip = getenv("REMOTE_ADDR"); echo $ip ?> wurde gespeichert!</div>
<br />
<div align="center">.htaccess <strong>require valid-user</strong></div>
<br /><br /><br /><br />
<div align="center"><strong>Administrator: H75 Hollii - <a href="http://halloo.de/k.php">Kontaktformular</a></strong></div>
<br />
</body>
</html> die .htaccess und die 401.php sollten im root verzeichnis liegen. damit der/die unterordner die geschützt sind, bei abbrechen die 401.php anzeigen können.,.

danke dir

danke auch :)

Stell das Formular einfach so ein, dass es ein "POST" auf die selbe Seite (Login-Formular) macht - die PHP Seite muss die post-Daten ja nicht auswerten.
Ich glaube, GET würde auch gehen - einfach ausprobieren so? bin mir nicht sicher, ob das so richtig ist... http://halloo.de/admincp/

Ja, das leitet dann schon wieder zurück - nur einen Nachteil von "GET" habe ich entdeckt: Die Adresse nach dem ersten Login lautet: http://halloo.de/admincp/index.php?vb_login_username=Admin&vb_login_password=password

Somit ist POST besser.

Weißt du, wie man das, was per POST übergeben wird, wieder in das Anmelde-Feld hineinschreiben kann? (Nur den Namen) Wenn nein, dann suche ich dir das mal raus.

Das ganze passt aber auch zu meinem Thema:

http://www.vbulletin-germany.com/forum/showthread.php?t=15250

So probier ma. :D
http://halloo.de/admincp/

ich hab probiert, aber mein Kennwort geht nicht

Mein Kennwort geht auch nicht :(


Aber so ist es super!
Wenn man vBulletin genau kennt, weiß man, das der rote Text eigentlich nicht kommt, aber der "08/15"-Hacker kennt vB nicht so genau :)

Wirklich gelungen. Kannst du mir den Code mal zukommen lassen?

Ja man könnte ja auch statt dessen die Orginal-vB-Fehlerseite nehmen.. :)

Habs ma angehängt...

edit: und mein Kennwort geht auch nicht.. :(

mal testen

Ja man könnte ja auch statt dessen die Orginal-vB-Fehlerseite nehmen.. :)

Habs ma angehängt...

edit: und mein Kennwort geht auch nicht.. :(
Ja, das könnte man dann dahingehend perfektionieren, dass man sogar nach 5 Versuchen 1/4 Stunde warten muss :)
Aber dazu habe ich weder die Zeit, noch die Kenntnisse in PHP.

Vielen Dank für die Dateien!

Man könnte auch das Admincp klonen und ein Einloggen ermöglichen in einem Fake-AdminCP...
Aber schluss jetzt ... Das war mehr als Off-Topic :D