Правила форума Гаранты форума
Размещение рекламы AMX-X компилятор

Здравствуйте, гость Вход | Регистрация

Наши новости:

14-дек
24-апр
10-апр
11-апр

> Важная информация

Перед тем как создать тему или задать вопрос, ознакомьтесь с данной темой, там собраны наиболее распространенные уязвимости и способы устранения.
Так же не поленитесь воспользоваться поиском, вполне возможно, что ваш вопрос уже поднимался на форуме.
При создании новой темы уделите внимание ее названию, оно должно кратко описывать суть вашего вопроса/проблемы. Все вновь созданные темы с названиями "Помогите", "Объясните", "Подскажите" и т.д. будут удалены, а их авторы наказаны.
3 страниц V  « 2 3

Взлом AmxBans 6 GM 1.6 через Shell

, Есть ли защита?
Статус пользователя Bloo
сообщение 27.5.2015, 11:22
Сообщение #41


Стаж: 10 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

georgeml, он разве без пароля с валидным ID пустит?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя georgeml
сообщение 27.5.2015, 11:38
Сообщение #42
Стаж: 10 лет

Сообщений: 1467
Благодарностей: 439
Полезность: 423

Цитата(Bloo @ 27.5.2015, 11:22) *
georgeml, он разве без пароля с валидным ID пустит?

А что ему помешает? Тип авторизации "с"
Зашел без пароля- обычный игрок. С паролем- с правами доступа

Отредактировал: georgeml, - 27.5.2015, 11:39
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Bloo
сообщение 27.5.2015, 12:22
Сообщение #43


Стаж: 10 лет

Сообщений: 15547
Благодарностей: 6971
Полезность: 1206

georgeml, разве авторизация по C чекает пароль?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя sana666
сообщение 27.5.2015, 12:40
Сообщение #44


Стаж: 10 лет
Город: Новосибирск

Сообщений: 235
Благодарностей: 39
Полезность: 29

Цитата(Bloo @ 27.5.2015, 13:22) *
georgeml, разве авторизация по C чекает пароль?

Не чекает


Звукозапись:
VK - vk.com/zvuk_off
TG - @zvuk_off
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя georgeml
сообщение 27.5.2015, 12:41
Сообщение #45
Стаж: 10 лет

Сообщений: 1467
Благодарностей: 439
Полезность: 423

Цитата(Bloo @ 27.5.2015, 13:22) *
georgeml, разве авторизация по C чекает пароль?

Любая авторизация чекает пароль, если не указано иное (т.е. не указан тип "е"). Другое дело, что он не кикает при неправильном пароле, опять же потому, что не указан тип "а"
Думаю, так будет проще и без лишних вопросов (не для тебя, а для других интересующихся)
Код:
с- доступ к флагам с указанием пароля. Не указан правильный пароль- запустит на сервер без флагов
ас - доступ к флагам с указанием пароля. Не указан правильный пароль- не запустит на сервер
се- доступ к флагам без проверки пароля (даже если он указан и присутствует в настройках прав доступа). Пустит на сервер при любом раскладе с флагами
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя PREDATOREX
сообщение 27.5.2015, 12:48
Сообщение #46


Стаж: 15 лет

Сообщений: 828
Благодарностей: 611
Полезность: 674

serveroc.com.ua
Цитата([WPMG]PRoSToTeM@ @ 27.5.2015, 3:33) *

На сервер пока не заходил, но пригласив на свой сервер можно получить:
1) AuthID и при желании AuthString или тикет
2) UserInfo и в частности "пароль от админки"
Затем зайти на целевой сервер под "данными админа" и через ркон получить данные от базы если они записаны в текстовом файле или кварах.


Так оно и было, хотел написать, но опередил))

Да и что бы залить клиент заразу нужно ещё пару манипуляций со стороны человека (поклацать мышкой) что бы основательно потерять не только сервер, но и остальные пароли на пк.

Отредактировал: PREDATOREX, - 27.5.2015, 12:50
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя sana666
сообщение 27.5.2015, 12:54
Сообщение #47


Стаж: 10 лет
Город: Новосибирск

Сообщений: 235
Благодарностей: 39
Полезность: 29

Цитата(georgeml @ 27.5.2015, 13:41) *
Любая авторизация чекает пароль, если не указано иное (т.е. не указан тип "е"). Другое дело, что он не кикает при неправильном пароле, опять же потому, что не указан тип "а"
Думаю, так будет проще и без лишних вопросов (не для тебя, а для других интересующихся)
Код:
с- доступ к флагам с указанием пароля. Не указан правильный пароль- запустит на сервер без флагов
ас - доступ к флагам с указанием пароля. Не указан правильный пароль- не запустит на сервер
се- доступ к флагам без проверки пароля (даже если он указан и присутствует в настройках прав доступа). Пустит на сервер при любом раскладе с флагами

Сколько не ставил с "С", заходил с любым паролем и все работало

Цитата(sana666 @ 27.5.2015, 13:52) *
Сколько не ставил с "С", заходил с любым паролем и все работало

Я ошибся. с "се" входил


Звукозапись:
VK - vk.com/zvuk_off
TG - @zvuk_off
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ssx
сообщение 8.5.2017, 20:19
Сообщение #48


Стаж: 9 лет

Сообщений: 2234
Благодарностей: 1341
Полезность: 836

Ребята, подскажите, что за дыра и как её пофиксить.
Кто-то тупо редактирует все баны

Если бы пароль от админки взломали - писало бы ник админа .

Прикрепленные файлы:
Прикрепленное изображение


[CS 1.6 Public] 78.152.169.100:27014
[CS 1.6 DM FFA] 78.152.169.100:27015
[CS 1.6 DM AIM] 78.152.169.100:27017
[Half-Life DM FFA] 78.152.169.100:27016
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ssx
сообщение 9.5.2017, 12:56
Сообщение #49


Стаж: 9 лет

Сообщений: 2234
Благодарностей: 1341
Полезность: 836

Таки не нашел инфы по этой дыре.

Просто редактируют баны и всё .


Прикрепленные файлы:
Прикрепленное изображение


[CS 1.6 Public] 78.152.169.100:27014
[CS 1.6 DM FFA] 78.152.169.100:27015
[CS 1.6 DM AIM] 78.152.169.100:27017
[Half-Life DM FFA] 78.152.169.100:27016
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Profan
сообщение 12.5.2017, 1:22
Сообщение #50


Стаж: 8 лет 4 месяца
Город: Сочи

Сообщений: 1317
Благодарностей: 403
Полезность: 698

ssx, Эти IP банил, с помощью iptables?
а чей там STEAM_ID ?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя BaHeK
сообщение 12.5.2017, 10:11
Сообщение #51


Стаж: 15 лет

Сообщений: 571
Благодарностей: 505
Полезность: 651

ssx, веб-морда какой версии?


Чуть-чуть нарушаю
http://img-host.su/aoN1.png
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя ssx
сообщение 12.5.2017, 10:46
Сообщение #52


Стаж: 9 лет

Сообщений: 2234
Благодарностей: 1341
Полезность: 836

Цитата(Profan @ 12.5.2017, 1:22) *
ssx, Эти IP банил, с помощью iptables?
а чей там STEAM_ID ?


Ипы постоянно разные .
steam_id тех кого банили .

В причинах редактирования банов какая-то реклама.

По логам буду смотреть как так..
Прикрепленные файлы:
Прикрепленное изображение


[CS 1.6 Public] 78.152.169.100:27014
[CS 1.6 DM FFA] 78.152.169.100:27015
[CS 1.6 DM AIM] 78.152.169.100:27017
[Half-Life DM FFA] 78.152.169.100:27016
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Profan
сообщение 12.5.2017, 14:25
Сообщение #53


Стаж: 8 лет 4 месяца
Город: Сочи

Сообщений: 1317
Благодарностей: 403
Полезность: 698

ssx, Думаю если поставить CSbans то такой проблемы не будет. Сам пользовался постоянно AmxBasom 6 пока CSbans не попробовал, там функционал шире, удобнее все сделано. А базу данных можно и от AmxBansa поставить.
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
Поблагодарили 1 раз
   + Цитировать сообщение
Статус пользователя ssx
сообщение 13.5.2017, 20:45
Сообщение #54


Стаж: 9 лет

Сообщений: 2234
Благодарностей: 1341
Полезность: 836

Цитата(Profan @ 12.5.2017, 14:25) *
ssx, Думаю если поставить CSbans то такой проблемы не будет. Сам пользовался постоянно AmxBasom 6 пока CSbans не попробовал, там функционал шире, удобнее все сделано. А базу данных можно и от AmxBansa поставить.

Пока что не могу CS:Bans поставить т.к. там нужен 5.3 php а это гемморой т.к. придется переделывать psychostats, новый DLE движок ставить и много чего не совместимого с 5.3+ php

В логах такие вот записи только:
Код
134.249.141.24 - - [13/May/2017:21:31:18 +0300] "GET /banlist/ban_list.php HTTP/1.1" 200 43117
134.249.141.24 - - [13/May/2017:21:31:18 +0300] "POST /banlist/ban_list.php HTTP/1.1" 200 22435



[CS 1.6 Public] 78.152.169.100:27014
[CS 1.6 DM FFA] 78.152.169.100:27015
[CS 1.6 DM AIM] 78.152.169.100:27017
[Half-Life DM FFA] 78.152.169.100:27016
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя orlov89
сообщение 13.5.2017, 21:39
Сообщение #55
Стаж: 7 лет

Сообщений: 306
Благодарностей: 118
Полезность: 213

ssx,
может sql injection?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
Статус пользователя Profan
сообщение 14.5.2017, 11:30
Сообщение #56


Стаж: 8 лет 4 месяца
Город: Сочи

Сообщений: 1317
Благодарностей: 403
Полезность: 698

ssx, у тебя какая версия щас php?
Перейти в начало страницы         Просмотр профиля    Отправить личное сообщение
   + Цитировать сообщение
3 страниц V  « 2 3
 
Ответить в данную темуНачать новую тему
 
0 пользователей и 1 гостей читают эту тему: