HackVersion: BETA 3

Mit diesem Hack könnt ihr ein Board mit einem Passwortschutz versehen.
Das Passwort wird im Adminbereich unter:

Forums and Moderators
--> modify
---> das board wählen

eingegeben.

Dieser Hack ist erst einmal eine BETA. In der Endversion soll auch den Zugriff auf die geschützten Boards selbst wieder (als normaler member) aufheben können.

Gefixed zur letzten Version:

- keine Anzeige mehr von Beiträgen aus passwortgeschützten Boards in der Suchfunktion.
- Schutz jetzt auch beim erstelen neuer Beiträge.

Es gab noch einen kleinen Bug über das Profil eines Users konnte man den Titel des Postings im geschützten Board sehen.

aktuelle Version vom Hack ist jetzt 1.0 (also nicht mehr BETA)

wenn ihr den hack noch nicht installiert habt dann ladet den hack in diesem Posting runter ansonsten macht folgende Ergänzung um upzudaten:


member.php runterladen und sichern

diesen Code suchen:

$lastposturl="showthread.php?s=$session[sessionhash]&postid=$getlastpost[postid]#post$getlastpost[postid]";

ersetzen durch:

$foruminfo = $DB_site->query_first("SELECT forumid,password FROM forum WHERE forumid='$getlastpost[forumid]'");
if ($foruminfo[password]!="") {
$lastposturl="";
$lastposttitle="$bbtitle";
} else {
$lastposturl="showthread.php?s=$session[sessionhash]&postid=$getlastpost[postid]#post$getlastpost[postid]";
}

member.php wieder hochladen.

denn werde ich mal ausprobieren!

thx

Die Idee mit diesem "userspezial" ist für kleine Communities sicherlich gebräuchlich, man muß sich aber vor Augen halten, dass für jedes PW-geschütze Forum eine Spalte an die Tabelle "userfield" angehängt wird. Bei unserer Community (first-board.de) kamen aber ca. 800 PW geschütze Foren zusammen. Man kann sich vorstellen, dass die Datenbank an der Tabelle "userfield" zerbrochen ist. Eine doch recht einfache Lösung ist es, den von vB gesetzten Cookie zu erweitern und dort den Zugang zum PW geschützen Forum zu speichern.

Ich habe das bei first-board.de so eingebaut. Wenn Interesse daran besteht, ich kann es posten...

Greets, CouJo!

800 Foren hast Du ? WOW und da hast Du keine Cookie Probleme wenn Du z.B. einzelne Foren als gelesen markieren willst ?

Nein, die Cookies machen keine Probleme. Es ist so, dass First-Board Foren hostet, d.h. man wird sich nicht alle Foren durchlesen - deswegen sollten bei den Cookies keine Probleme auftreten.

Zu den Cookies beim Forenschutz:
Ich habe einfach den Cooikienamen aus der ForumID generiert, also im Prinzip genauso wie Du!

Die Cookievariable heißt also bei mir access$foumid. Der Wert ist das Passwort, allerdings md5 verschlüsselt.

Wenn ich jetzt ein PW geschütztes Forum besuche, wird diese Cookievariable überprüft... so in etwa sieht es dann aus...

if($HTTP_COOKIE_VARS['access".$forumid."'] == md5($forumpassword))
{
// access ok
// Cookie Gültigkeit verlängern
}
else
{
// kein access
// Cookie löschen
}

Wenn das Passwort stimmt, wird die Gültigkeit des Cookies verlängert, ansonsten wird dieser Cookie gelöscht (aber nur der access Wert). Damit fällt die Aktion mit der 0 im Admin Panel weg. Die Userspezialspalten brauch man auch nicht mehr. Das entlastet die Datenbank wirklich ungemein.

Greets, Coujo!

gibts auch nen Hack dass man alles was im verzeichnis /admin liegt mit diesem PW Login-Fenster versehen kann, dass auch immer erscheint wenn man kein Admin ist und auf das Admin CP zugreifen will??? Ich würde gerne in das geschützte /admin verzeichnis dazu verwenden, um dort phpMyAdmin zu lagern...

Dazu braucht man keinen Hack. Wir haben das per ".htaccess" gelöst. Diese Methode besteht aus 2 Datein. Eine enthält die Usernamen / Passwörter und die andere regelt die Zugriffe.

Die ".htaccess" muß in Dein Admin Verzeichnis. Ein Beispiel würde so aussehen:

AuthName "Admin Panel"
AuthType Basic
AuthUserFile /pfad/zu/Deiner/paswortdatei
require valid-user


Die Passwortdatei wird im Allgemeinen im gleichen Verzeichnis abgelegt, was aber unsicher ist. Ich würde sie außerhalb des Web-Zweiges positionieren. In der .htaccess wird dann der Pfad (nicht die URL) zur Passwortdatei eingetragen. Die Passwortdatei kannst Du mit dem Tool "htpasswd" anlegen. Das ist bei den meisten Linux Systemen installiert. Syntax in etwa so:

htpasswd -c .htpasswd Username

Dann mußt Du noch 2x das Passwort für den User eingeben. Die CL Option "-c" sagt nur, dass die Datei angelegt werden soll. Du kannst noch meherere Name / PW Paare in die Datei speichern...

Hört sich stark nach einer Hackerabwehr an ;) ! Bei uns war das auch nötig. Hacker haben auch unser vB auf'm Kicker gehabt...

Greets, CouJo!

@CouJo

Das geht bei mir irgendwie gar nicht...

Es erscheint zwar schön die Abfrage, aber egal, was ich mache... das PW stimmt nie.

Ich habe schoin hundert ,al am Pfad herumgeschraubt, allerdings mit NULL Erfolg

Was mache ich falsch? :confused: :confused:

Gruss

Hast Du SSH/telnet login? Dann gib im Verzeichnis der PW Datei mal "pwd" ein. Dann wird Dir der absolute Pfad des Verzeichnisses angezeigt. Dann einfach die PW Datei hintendran und gut...

Das Programm (htpasswd), dass es teilweise zum Download im Internet gibt, verschlüsselt das PW nicht so, dass es klappt. Du mußt das "htpasswd" auf der Maschine ausführen auf dem auch die PW Datei liegen soll!

Greets, CouJo!

hmm es gibt noch ne andere möglich keit den absoluten pfad raus zu finden
einfach meine angehängte datei hoch laden ausführen und ganz unten bei server vars steht dann auch der absolute pfad .... der geht dann 100% im htaccess

<?php
phpinfo();
?>

schreib da jetzt in nen editor und speicher es als wasweisich.php
dann einfach uppen und aussfürhen ;)

Danke Afterburner!!!!! funzt echt super dein hack, kann ich wunderbar gebrauchen!!!

ne frage hab ich noch, im admin cp hast du was geschrieben von wegen 0 eintragen dann wird die table geloescht. warum sollte man die tabelle loeschen wollen ?

cu
FE

nun ist mir doch noch was aufgefallen:

ich habe nen hack eingebaut, "last post on index page" (oder so aehnlich), da sieht man in der "Letzter Beitrag" Spalte eben das Topic des letzten Beitrages in dem jeweiligen Forum.

das bloede nun sehen auch ALLE den letzten Beitrags Topic im geschuetzten Bereich!!

Wie kann ich das aendern ?

thx,
Schorsch

mit der 0 entfernst du den Zugriff aller User die bis damit zugriff haben und danach kannst du dann z.B. ein neues Passwort angeben.

wenn du meinen last posting hack benutzt hast dann kannst du das bei den einzelnen Boards abscahlten, dann aber auch nur für alle Usergruppen

ne deinen last posting hack nutze ich leider nicht :( :( :( :o

moin,

@ Afterburner

Folgenden Code habe ich zweimal......


showthread.php runterladen und sichern

Diesen Code suchen (ca 205):

if (!$thread['visible']) {
$idname="thread";
eval("standarderror(\"".gettemplate("error_invalidid")."\");");
exit;
}

$forum=getforuminfo($thread['forumid']);

Muss ich den Code bei beiden stellen einfügen??

Hab Version 2.2.6

thx im voraus

mfg

The Ghost

ne nur den in zeile 205.

cu
Schorsch

Original geschrieben von Schorsch
ne nur den in zeile 205.


thx

moin,

funktioniert einwandfrei!

Noch eine Frage:

Wenn ich einmal das Passwort für ein Forum eingegeben habe, komme ich immer wieder in dieses. Kann man es irgendwie so ändern das ich jedesmal das Passwort eingeben muss?

thx im voraus

mfg

The Ghost

Original geschrieben von The Ghost
moin,

funktioniert einwandfrei!

Noch eine Frage:

Wenn ich einmal das Passwort für ein Forum eingegeben habe, komme ich immer wieder in dieses. Kann man es irgendwie so ändern das ich jedesmal das Passwort eingeben muss?

thx im voraus

mfg

The Ghost

nein geht leider nicht so ohne größere änderungen

Original geschrieben von Afterburner

nein geht leider nicht so ohne größere änderungen

hmmmm, schade, wäre net schlecht gewesen.

Werden die Infos in den Cookies gespeichert?

Original geschrieben von The Ghost


hmmmm, schade, wäre net schlecht gewesen.

Werden die Infos in den Cookies gespeichert?

nein in der DB deswegen geht es ja nicht so ohne weiteres, Cookies sind nicht so mein Ding und bei größeren Board gibt es so schon Probleme mit den Cookies (gelesen Funktion in den einzelnen Boards) deshalb hatte ich es damals mit der DB geregelt.

moin,

ok, thx für die Info.

Super Hack, gute Arbeit!

mfg

The Ghost

moin,

hab jetzt alles fertig gebaut und wollte die PW geschützten Foren jetzt öffentlich in Betrieb nehmen (möchte ich für "Hackits" verwenden.....).

Mir ist heute aufgefallen, das laut meiner Who's Online 365 Gäste auf meinem Board Online sind.......

Alle betrachten angeblich das PW geschützte Forum.........
Alle haben die gleiche IP Adresse.
Ich hab dann mal genauer nachgeschaut, ein bestimmter (registrierter) User hat das PW geschützte Forum angeschaut, dann ist der Fehler mit den Gästen aufgetaucht. Alle haben die gleiche IP Adresse, die gleiche IP wie der besagte Member welche das PW Forum angeschaut hat......

Dieser Fehler tritt erst seit Einbau des Hacks auf......... :( :(

Ich benutze vB 2.2.6

Ist da etwas bekannt?

Eilt etwas da alle schon auf die Foren warten.... (ich konnte ja nicht meine klappe halten....)

thx im voraus

mfg

The Ghost

moin,

und folgenden Databaseerror hab ich per mail bekommen:

************************
Database error in vBulletin :

Link-ID == false, connect failed
mysql error:

mysql error number:

Date: Tuesday 16th of July 2002 01:55:25 PM
Script: /board/forumdisplay.php?s=&forumid=57
Referer:
************************

Hab oben an der Meldung nichts verändert, hab sie genau so bekommen....... Forumid 57 ist das versteckte Forum welches auf der Who's Online angezeigt wurde.

Habe insgesamt 5 errors bekommen.

mfg

The Ghost

das ist ein allgenmeiner fehler die verbindung zur DB ist abgerissen

Original geschrieben von Afterburner
das ist ein allgenmeiner fehler die verbindung zur DB ist abgerissen
moin,

thx für die Info. -> Mich wunderts nur das das erst seit dem Hack passiert ist und eigentlich nur die Forumid des geschützten Forums angegeben wird......

Und was ist mit dem Who's Online Problem? Sagt dir das was?

thx

mfg

The Ghost

sagt mir im moment nichts

Hack installiert aber nun kann ich keine neuen Foren erstellen. Bekomm immer ne error msg.

Database error in vBulletin Control Panel 2.2.6:

Invalid SQL: INSERT INTO forum
(forumid,styleid,title,description,active,displayorder,parentid,
parentlist,allowposting,cancontainthreads,daysprune,newpostemail,newthreademail,
moderatenew,allowhtml,allowbbcode,allowimages,allowsmilies,allowicons,
styleoverride,allowratings,countposts,moderateattach)
VALUES
(NULL,'1','Test','','1','1','-1',
'','1','1','30','','',
'0','0','1','0','1','1',
'0','1','1','0','')
mysql error: Column count doesn't match value count at row 1

mysql error number: 1136

Date: Monday 22nd of July 2002 10:57:57 PM
Script: http://www.fs-board.net/board/board/admin/forum.php
Referer: http://www.fs-board.net/board/admin/forum.php?action=add

bitte nochmal den code in der forum.php aus dem adminverzeichnis überprüfen, ich kann bei mir auch welche erstellen und bis jetzt hatte noch keiner diesen fehler

Sorry war wohl mein fehler. Hab nochmal die forum.php überprüft und hochgeladen und jetzt klappt alles wunderbar.

Thx Afterburner für den Hack und die schnelle Hilfe ;)

no problem

Wenn ich normal auf das Forum zugreifen will, werde ich zur Passworteingabe aufgefordert.. Aber wenn ich direkt zum Pfeil nehmen Datex' Nick (Letzter Beitrag:.....) klicke, komme ich zu dem Thread "Übersicht"
Irgendwie stimmt das was nicht ganz. Den man kann auch ohne das passwort zu wissen auf das Forum zugreifen wie ja da steht.

Mir wurde das schon mal erzählt da lag es dann daran das der code in der showthread.php an der falschen stelle eingebaut wurde, überprüfe das mal bitte nochmal.

Nope in der showthread und auch in allen anderen files ist alles richtig eingetragen.

komisch kann dir dann leider auch nicht weiterhelfen wenns nicht geht :(

Ich werd den hack nochmal aus und einbauen vieleicht klappts dann ja. Kann mir nicht vorstellen das es am hack liegt.

Naja mal sehen vieleicht hab ich ja auch was übersehen bei dem ganzen gram ;)

kann ich die templates editieren ??? Ich finde sie nirgens. Wollte einen anderen Text einbinden

diesen (Für dieses Board benötigst Du ein Passwort welches Du hier eingeben mußt:) möchte ich ersetzen !

tschööööö Balu

die findest du bei den custom templartes ganz oben bei den templates

bekomme fehler beim Ausführen der passwordhack.php

Fatal error: Call to undefined function: cpheader() in /home/sites/site5/web/passwordhack.php on line 6



liegt es daran das ich vielleicht erst die Hacks in die Seiten eingebaut hab und dann erst die passwordhack.php ausgeführt hab.

Voll komisch...

Kann mir bidde einer helfen :-(

hast sich erledigt, hab die zeile

cpheader()

einfach gelöscht und es dann ausgeführt.
Oder könnte es da fehler geben oder sicherheitslücken ?

Original geschrieben von The Ghost

Wenn ich einmal das Passwort für ein Forum eingegeben habe, komme ich immer wieder in dieses. Kann man es irgendwie so ändern das ich jedesmal das Passwort eingeben muss?



Ist hier den niemand der plan von Cookies hat und den Hack so umproggen kann das es mit cookies gespeichert wird ?!

Der Hack ist nämlich sau geil nur scheisse is das wenn man sich einmal einloggt das das in der DB gespeichert wird und man sich nie nochmal einloggen muss.

Meint einer das hinzubekommen ?

Wäre supa geil

in vB3 ist diese Funktion schon orginal mit eingebaut, am besten noch etwas warten ;)

in vb3 is ein PSWD Hack drin ???

Wann kommt es raus ?
Gibts ne url wo mehr details stehen ?

Original geschrieben von KJ187
in vb3 is ein PSWD Hack drin ???

Wann kommt es raus ?
Gibts ne url wo mehr details stehen ?

http://www.vbulletin-germany.com/forum/showthread.php?s=&threadid=3130

..klasse Hack, ich steh total auf das Ding, aber im augenblick sehe ich die Threads aus den privaten Foren nicht nicht wenn ich auf "neue Beiträge anzeigen" gehe. Wie kann ich das abstellen.

Diese werden leider nicht angezeigt :(

danke :)

...so hab jetzt die serach.php unverändert gelassen:D

na der hack hat sich doch mit vB3 jetzt erledigt ?!?

ja stimmt, möchte ich aber noch nicht ran, weißte doch wieviel Hacks ich eingebaut habe, die wären erstmal alle wech und ich hätte wieder Arbeit ohne Ende.

Aber es kommt bestimmt die Zeit da will ich daran:)

Habe jetzt mal so ziemlich alles durchgelesen in diesem thread, aber ich habe immer noch nicht richtig verstanden, ob man mit diesem hack nur ein kpl. board per pw schützen kann, oder auch nur ein bestimmtes forum (z.b. das interne) auf meinem board. das würde ich nämlich gerne tun.

und wenn ja, muss ich da anders vorgehen beim einbau, als normal?

thx

damit kannst du einzelne boards schützen, oder du nimmst alternativ das orginal vom vB 3 ;) da ist das ganze schon besser drinn als mit dem hack hier

den gibt es jetzt auch extra http://www.vbulletin.org/forum/showthread.php?t=50012&page=1&pp=15

grüße subu1