Closed Thread
Page 1 of 6 123 ... LastLast
Results 1 to 15 of 86

Thread: The Shinning

  1. #1
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723

    The Shinning

    Tracker: The Shinning
    Source: veränderte NetVision-Source

    Dieses Security-Review beschäftigt sich mit dem Tracker „The-Shinning“. Anders als der Name erahnen lässt, gibt es leider nicht viel "scheinendes" zu vermelden in diesem Review.

    Serversicherheit

    Bis vor Kurzem konnte man noch die PHP-Info öffentlich einsehbar finden. Scheinbar hat das Borgzelle Review etwas Staub aufgewirbelt und die Admins von The-Shinning haben reagiert und das gute Stück entfernt. Natürlich habe ich die Infos vorsorglich gesichert.

    PHP-Version: PHP Version 5.3.3-7+squeeze26 (Aktuellste: 5.6.9)

    Nicht die neuste Version, allerdings gibt es keine nennenswerten Sicherheitsprobleme mit der 5.3.3, daher kein Grund zur Sorge.

    MySQL-Version: 5.1.73 (Aktuellste: 5.6.25)

    Hier gilt das Gleiche wie bei PHP. Zwar nicht aktuell, aber unbedenklich. Trotzdem sollte man natürlich nicht ewig warten bis irgendwann mal eine Sicherheitslücke entdeckt wird und versuchen, PHP/MySQL up to date zu halten.
    Die PHP-Info wurde wie bereits oben erwähnt entfernt. Sonst wäre dies ein Kritikpunkt gewesen.

    Trackersicherheit

    Der Tracker hat so viele Sicherheitslücken, dass man fast glauben muss, es steckt Absicht dahinter. Ich bin problemlos in die Datenbank gekommen und hätte sicherlich so einiges damit anstellen können.

    vorhandene Datenbanken:
    • information_schema
    • mysql
    • performance_schema
    • shinning


    Kleiner Auszug aus der Usertabelle:
    id class email username passhash
    1 13 the.shinning1@***.de Jackpot 99caa7a920e53bf11f4648e6747a61e9
    12 106 ctr2001@***.de skydog cac7b61043601ec458535a4974ddf765
    52 5 Michael866@***.de Michael866 9adac0a7cbdd7b8fadc86d882ff29de9
    87 3 sk8ramp1@***.com gtx b8f28c6fad2236bc8a7499552e09732a
    96 3 fielding71@***.de Harry e11ab0c65e543f4396c0a148159cd78a
    127 6 stefanw4@***.com cartman 8584b6c0b5e521850ec132b61157c17f
    148 6 kai-s-frank@***.de seimen f4454e179aee0e446c6411683f2de9e0
    157 3 funtasie@***.net Funtasie b4cad99138bc4683ed1d6a65723c1468
    162 3 memphistennessee@***.de Elvis da47d660795899e54124d7e4ecca5090
    175 6 bittor68@***.de goose 791fc48db5e0f73f684777bd72edecf7

    Passhashes sind zwecks Salt natürlich kaum zu knacken.

    Fazit

    Gäbe es ein Security-Review Ranking, wäre dieser Tracker bisher an letzter Stelle. Eklatante Sicherheitslücken innerhalb des Trackers gewähren Zugriff auf die komplette Datenbank und mit etwas Zeitaufwand kann man höchstwahrscheinlich den ganzen Tracker hacken und übernehmen. Auch The Shinning handelt grob fahrlässig und verlässt sich darauf, dass nur User ohne böse Absichten auf dem Tracker unterwegs sind. Wenn ich wollte, könnte ich einen kompletten Dump der Datenbank anfertigen und veröffentlichen.
    Das abschließende Fazit fällt daher vernichtend schlecht aus. Von diesem Tracker bloß die Finger lassen!

    Attached Files Attached Files


    Thanks

  2. Who Said Thanks:

    DevilsCut (20.03.19) , anthony-joal (18.03.18) , Mallenia (18.03.18) , DiePest (18.03.18) , xeplion (18.03.18) , sambule (18.03.18) , t0m (18.03.18) , Flux (18.03.18) , dirtsa27 (18.03.18) , matrix2003 (18.03.18) , scoville (18.03.18) , picasa (05.03.18) , Plex86 (05.06.17) , Blocker (10.04.16) , MonsterLag (30.03.16) , Instab (28.03.16) , Freak69 (26.03.16) , Lucius (26.03.16) , mmmmm (09.09.15) , rotzloeffel (25.06.15) , system28 (15.06.15) , blood (15.06.15) , Nagilum (15.06.15) , Snitlev (15.06.15) , corregidor (15.06.15)

  3. #2
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by Rebound View Post
    Anders als der Name erahnen lässt, gibt es leider nicht viel "scheinendes" zu vermelden in diesem Review.
    gibt es bei diesem tracker überhaupt nicht weil "shining" schreibt man mit einem N. wenn sich deutsche tracker schon englische namen zulegen sollten sie sie wenigstens schreiben können
    Your account has been disabled.
    Thanks

  4. Who Said Thanks:

    MonsterLag (30.03.16) , Freak69 (26.03.16)

  5. #3
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Ich habe neulich mal wieder bei "The Shinning" reingeschaut und feststellen müssen, dass noch mehr Sicherheitslücken vorhanden sind als beim ersten Check.
    Als kleines "Osterspecial" habe ich mal ein paar Tabellen gedumpt und hochgeladen. Findet ihr zum Download im Startpost. Absichtlich habe ich auf sensible Daten mal verzichtet. Allerdings lege ich nicht meine Hand ins Feuer, dass es beim nächsten mal nicht die Usertabelle erwischt.
    Und ja, natürlich sind da nicht so spannende Sache dabei. Vielleicht beim nächsten mal.


    Thanks

  6. #4

    Join Date
    18.07.15
    Location
    Outer Space
    Posts
    23
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss23
    Ich verstehe ehrlich gesagt nicht, warum sich die Trackerbetreiber nicht bei euch melden.
    Wenn ich das richtig verstanden habe, dann würdet ihr ihnen doch sogar helfen die bestehenden Sicherheitslücken zu schließen. Ist das falscher Stolz, Faulheit, eine Kombination aus beidem?

    Nach diesem review habe ich auf jedenfall davon abgesehen mich dort zu registrieren.
    Thanks

  7. Who Said Thanks:

    Snitlev (31.03.16)

  8. #5
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Also bei mir hat sich jemand gemeldet der dort wohl angeblich der Coder ist (kann ich natürlich nicht verifizieren). Falls es tatsächlich der Coder sein sollte, hat er echt null Plan von dem was er da tut. Der Tracker läuft trotz erheblicher Sicherheitsmängel nach wie vor und es wurde keinerlei Anstrengung unternommen, dagegen etwas zu tun. Also entweder dachte sich jemand ich serviere ihm die Sicherheitslücken damit er sie selber ausnutzen kann (mach ich natürlich nicht, bin ja nicht blöd) oder es ist mal wieder irgendein Hobby-Sysop da am Werk der sich dachte, Google und die Verwendung einer x-beliebigen Tracker-Source wäre eine ausreichende Qualifikation für ein solches Projekt.

    Ich habe in der Datenbank außerdem Hinweise darauf gefunden, dass ich nicht der Einzige/Erste bin der versucht oder es geschafft hat, diesen Tracker zu hacken.


    Thanks

  9. Who Said Thanks:

    (12.08.17)

  10. #6
    The-Shinning-Staff
    Join Date
    27.03.16
    Posts
    9
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss9
    Rebound du bist und bleibst ein kleines Würstchen.

    Ich glaube deine Mutti hat dir dein Spielzeug weggenommen, mehr nicht.

    Mehr als eine große Fresse hast eh nicht und wer liest den hier nach, nieeeeeeeeeemand weil dein Forum
    keinen Interessiert.

    Und weiß ja negativ ist immer Postiv für den Tracker.

    Also kannst ja weiter machen mit dem scheiß weil es keinen Interessiert was Du machst.

    Hinweiße in der Datenbank hast Dein Hirn dortliegen gelassen.

    Und nein bin nicht der Coder von dort der Nachgefragt hat bei Dir.
    Ja und die Paar User die das lesen sind auch auf den gewissen Trackern unterwegs die alle Unsafe sind.

    Also Interessiert das niemanden hier was du da treibst.


    Und kannst mit dem sqlmap weiterspielen
    Thanks

  11. #7
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Mal gucken ob es die Leute interessiert, wenn jeder User von euch eine E-Mail in seinem Postfach mit Verweis auf diesen Thread hier vorfindet.


    Thanks

  12. Who Said Thanks:

    Mallenia (18.03.18) , (12.08.17) , blood (02.04.16)

  13. #8
    The-Shinning-Staff
    Join Date
    27.03.16
    Posts
    9
    Activity Longevity
    0/20 10/20
    Today Posts
    0/5 ssssssss9
    mach doch

    ---------- Post Merged at 20:03 ---------- Previous Post was at 20:03 ----------

    mach doch
    Thanks

  14. #9
    Moderator
    Rebound's Avatar
    Join Date
    19.04.07
    Location
    Ende der Welt
    P2P Client
    Faze Mod 0.2 Private Beta
    Posts
    3,723
    Activity Longevity
    6/20 20/20
    Today Posts
    0/5 sssss3723
    Mal ehrlich xtm oder "skydog", wie du auf deinem Tracker heißt. Du bringst hier wissentlich deine gesamten User in Gefahr und würdest es billigen wenn ich (zum Teil private) E-Mails und IP-Adressen veröffentliche? Sowas krankes habe ich echt noch nie erlebt und ich bin nun wirklich schon lange im Geschäft.


    Thanks

  15. #10

    Join Date
    18.07.15
    Location
    Outer Space
    Posts
    23
    Activity Longevity
    0/20 11/20
    Today Posts
    0/5 sssssss23
    Quote Originally Posted by xtm View Post
    ...

    Mehr als eine große Fresse hast eh nicht und wer liest den hier nach, nieeeeeeeeeemand weil dein Forum
    keinen Interessiert.

    Und weiß ja negativ ist immer Postiv für den Tracker.

    Also kannst ja weiter machen mit dem scheiß weil es keinen Interessiert was Du machst.

    ...
    Dafür dass es niemanden interessiert, scheinst du dich aber ganz schön angegriffen zu fühlen.
    Thanks

  16. Who Said Thanks:

    xaserx (14.04.17) , Freak69 (03.04.16) , Instab (02.04.16) , blood (02.04.16) , Snitlev (02.04.16)

  17. #11

    Join Date
    22.01.09
    Posts
    32
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 sssssss32
    Quote Originally Posted by xtm View Post
    Rebound du bist und bleibst ein kleines Würstchen.

    Ich glaube deine Mutti hat dir dein Spielzeug weggenommen, mehr nicht.

    Mehr als eine große Fresse hast eh nicht und wer liest den hier nach, nieeeeeeeeeemand weil dein Forum
    keinen Interessiert.

    Und weiß ja negativ ist immer Postiv für den Tracker.

    Also kannst ja weiter machen mit dem scheiß weil es keinen Interessiert was Du machst.

    Hinweiße in der Datenbank hast Dein Hirn dortliegen gelassen.

    Und nein bin nicht der Coder von dort der Nachgefragt hat bei Dir.
    Ja und die Paar User die das lesen sind auch auf den gewissen Trackern unterwegs die alle Unsafe sind.

    Also Interessiert das niemanden hier was du da treibst.


    Und kannst mit dem sqlmap weiterspielen

    damit hat er bewiesen,dass er nur ein kleiner dummer junge ist...bekommen mit 12 nen pc geschenkt und meinen dann,dass sie die helden an der tastatur sind...traurig aber wahr
    Thanks

  18. #12

    Join Date
    06.08.09
    Location
    herne
    P2P Client
    u torrent
    Posts
    10
    Activity Longevity
    0/20 18/20
    Today Posts
    0/5 sssssss10
    Leute mal ne frage an euch alle.
    Denkt ihr alle im ernst das nur eine Seite Safe ist. lol Jede php ist knack bar und jeder Server kann gehackt werden merkt euch das. Ob es nun Facebook Google oder Playstion Network ist wenn jemand es ernst meint haben wir alle ein Problem. Und jeder von uns muss auch irgendwo klar sein das wir uns alle in der Grauenzone bewegen. Wem es nicht klar ist sollte sich auch dort nicht registrieren ganz einfach. Und vielleicht wenn du da ja registriert bist schreib doch mal das Team an.


    Und hier mal ein kleines Geschenk an die Betreiber der Seite
    IP : 31.220.31.80
    Server Stndort Holland
    Internetdienstanbieter Voxility S.R.L.
    Type: PERSON
    Name: Raj Limbaj
    Address: 86-90 Paul Street
    PostalCode: EC2A 4NE
    City: London
    CountryCode: GB
    Phone: +44-755-844480
    Email:
    Last edited by ludacriss; 10.04.16 at 16:10.
    Thanks

  19. Who Said Thanks:

    böserjunge (12.04.17)

  20. #13
    Moderator
    Instab's Avatar
    Join Date
    18.09.09
    Posts
    6,660
    Activity Longevity
    5/20 17/20
    Today Posts
    0/5 sssss6660
    Quote Originally Posted by ludacriss View Post
    Und hier mal ein kleines Geschenk an die Betreiber der Seite
    eine standard whois-abfrage. was soll das aussagen?
    Your account has been disabled.
    Thanks

  21. #14

    Join Date
    16.09.10
    Location
    Germany
    Posts
    384
    Activity Longevity
    0/20 16/20
    Today Posts
    0/5 ssssss384
    Quote Originally Posted by Instab View Post
    was soll das aussagen?
    Vielleicht, das er Suchmaschinen nutzen kann?
    Thanks

  22. Who Said Thanks:

    Xerxes (03.06.16)

  23. #15

    Join Date
    13.04.17
    Location
    outer space
    P2P Client
    rtorrent
    Posts
    11
    Activity Longevity
    0/20 9/20
    Today Posts
    0/5 sssssss11
    Gibt es hier was neues?
    Irgendwelche Lücken geschlossen?
    Thanks

Closed Thread
Page 1 of 6 123 ... LastLast

Tags for this Thread

Posting Permissions

  • You may post new threads
  • You may post replies
  • You may not post attachments
  • You may not edit your posts
  •