Skocz do zawartości

  • Zaloguj korzystając z Facebooka Zaloguj korzystając z Twittera Zaloguj przez Steam Zaloguj poprzez Google      Logowanie »   
  • Rejestracja

Witamy w Nieoficjalnym polskim support'cie AMX Mod X

Witamy w Nieoficjalnym polskim support'cie AMX Mod X, jak w większości społeczności internetowych musisz się zarejestrować aby móc odpowiadać lub zakładać nowe tematy, ale nie bój się to jest prosty proces w którym wymagamy minimalnych informacji.

  • Rozpoczynaj nowe tematy i odpowiedaj na inne
  • Zapisz się do tematów i for, aby otrzymywać automatyczne uaktualnienia
  • Dodawaj wydarzenia do kalendarza społecznościowego
  • Stwórz swój własny profil i zdobywaj nowych znajomych
  • Zdobywaj nowe doświadczenia

Dołączona grafika Dołączona grafika

Guest Message by DevFuse
 

Zdjęcie

[CS 1.6 GO MOD] Idealna modyfikacja czy wielka ściema?


  • Nie możesz napisać tematu
  • Zaloguj się, aby dodać odpowiedź
27 odpowiedzi w tym temacie

#1 Boziak

    Początkujący

  • Użytkownik

Reputacja: 17
Początkujący

  • Postów:16
  • Imię:b
Offline

Napisano 21.04.2016 00:16

*
Popularny

Witajcie.
 
Dziś przybyłem zaprezentować Wam poczynania niezbyt uczciwych programistów, którzy celują chyba za wysoko.
 
Od paru dni przyglądałem się dość mocno rosnącego w siłe GO MODA dla starego poczciwego 1.6, moja ciekawość zaprowadziła mnie aż do rozłożenia tego pluginu na czynniki pierwsze ( ot co czysta ciekawość ).
 
To co znalazłem przerosło moje oczekiwania!
 
0b92ef29f035fd287e2622e64fb958c5x.png
 
 
Na wstępie informuję iż starałem się skontaktować z większością sieci które posiadały tą modyfikację, z lepszym bądź gorszym skutkiem.
 
 
Po analizie pluginu oraz jego zachowań udało się ustalić iż spora cześć danych leci zewnętrzne bazy mysql. Pierwsza myśl, oczywiście weryfikacja licencji i tym podobne sprawy... lecz sama baza pokazała dużo ciekawszą porcję informacji niż by się mogło spodziewać.
 

 
Po co plugin zapisuje RCON na jakieś obcej bazie danych? 
Lepszym pytaniem będzie dlaczego dane amxbans również zostały wysłane do prywatny host?
 
(Sam autor tłumaczył się wykorzystaniem tych danych do zapisu / edycji wpisów * Informacje od jednego z właścicieli sieci które kupiły tą modyfikację) Dokładnie wszyscy wiemy iż te dane nie musiały zostać nigdzie wysłane po za linie komunikacji HLDS -> AMXBANS... mogły zostać pobrane lokalnie i wykorzystane również bez ingerencji innych baz... (Nikt chyba nie powie że tak powinno być, połączenie zdalne nie jest "optymalne" jak to lubimy mówić szczególnie jak z tą bazą łączyło się blisko 60 serwerów)
 
Drugie dlaczego autor pluginu nie raczył informować kupujących jego plugin (min. 75 PLN) że jego bazna amxbans będzie wykorzystywana? W regulaminie dostępnym na stronie moda również nie było takich informacji!
 
 
Po co plugin wysyłał informacje ile zarobił poszczególny serwer?
 
Zrobiło się nam bardzo dużo niewiadomych... Postanowiłem porozmawiać z autorem pluginu, grając klienta chętnego do zakupu (Blisko 250PLN) modyfikacji.
 
Tak wyglądała rozmowa:

Spoiler


Też zapomniał wspomnieć że jednak jakieś ważniejsze dane uciekają bokiem.


Teraz przejdźmy do przyjemniejszych spraw, czyli strony technicznej :)

Interesujące nas linie w pliku załączonym poniżej
 
Linie od 4942 do 4960
   
Spoiler

 
 
Linie od 5084 do 5107
Spoiler

 
 
Dalej również widać dość ciekawostek lecz to pozostawiam Wam.
 
Kończąc ten temat chciałbym napisać iż rozumiem zarabianie na pluginach mimo iż sama licencja AMXX mówi inaczej. Jest to czas poświęcony, wytężenie dla umysłu! Lecz gdy ktoś wyciąga łapy za daleko ktoś musi strzelić z linijki!
 
Dość ciekawy zwrot od autora pluginu:
ada0acd8854393c8f7db6364136d4a7e.png
 
Czy to oznacza że nie ma już osób które potrafią się cieszyć z tego co tworzą? Czy każdy zamknięty plugin powinien być analizowany jak virus? 
 
 
 
No i czas na obiecane prezenty:
 
csgo.amxx > csgo.asm
http://www53.zippysh...mIYuG/file.html
 
Zrzut baz danych
<Ciach!> ze względów bezpieczeństwa zrzut został usunięty




-------------------
Do administracji amxx.pl - Jeśli pomyliłem dział proszę mi wybaczyć.


MAGNET (18.05.2016 21:12):
Załącznik ze zrzutem bazy danych usunięty ze względów bezpieczeństwa

  • +
  • -
  • 12

#2 GwynBleidD

    Godlike

  • Administrator

Reputacja: 1849
Godlike

  • Postów:3066
  • Steam:steam
  • Lokalizacja:Przemyśl
Offline

Napisano 18.05.2016 20:55

Temat muszę przyznać bardzo ciekawy i gratuluję autorowi postępów. Tego typu machlojki powinny być jak najbardziej ujawniane.

 

Ze swojej strony dodam jedną rzecz do tematu: Licencja AMXModX wymaga od autorów pluginów stosowania licencji GPL, co oznacza, że MUSZĄ oni ujawniać źródła swoich pluginów (pliki sma). Dotyczy to każdego pluginu, nie ważne czy go od kogoś kupujecie czy jest dostępny publicznie, macie dostać razem z nim źródła. Dlatego polecam każdemu, kto od kogokolwiek kiedykolwiek kupił lub ma zamiar kupić plugin, wymaganie źródeł, podpierając się licencją AMXModX. Jeśli nie dostaniecie źródeł - nie kupujcie.

 

Są od tego pewne wyjątki - np plugin, który jest w stanie skutecznie banować osoby ze zmiennym adresem IP, jednak poza tą funkcją nie powinno w pluginie znajdować się nic innego. Na takie wyjątki możemy przymykać oko.

 

Swoją drogą, jeśli ten plugin był dostępny na tej stronie: http://csgomods.pl/to autor chyba się już ogarnął - w paczce jest adnotacja, aby zmienić wszystkie hasła.


  • +
  • -
  • 2
NIE pomagam na PW. Nie trudź się, na zlecenia nie odpiszę... Od pomagania jest forum.
NIE zaglądam w tematy wysłane na PW. Jeśli są na forum to prędzej czy później je przeczytam. Jeśli mam co w nich odpisać, to odpiszę.
 
1988650.png?theme=dark

#3 Linux'

    Pan Pomocny

  • Power User

Reputacja: 488
Wszechobecny

  • Postów:1425
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:AmxMod i SourceMod
Offline

Napisano 18.05.2016 21:40

Pluginy typu go mod sa dosc slabo wykonane, pomijajac juz reszte o ktorej napisal autor. Mialem okazje przerabiac juz tego typu pluginy, roznych autorow. Masa bledow, slaba optymalizacja kodu i kiepskie wykonanie pod wzgledem jakosci.

 

Jeszcze dodam, ze autor znacznie przeplacil. Za takie badziewie tyle baksow? Gdybys trafil na odpowiednia osobe to otrzymalbys kilkukrotnie lepszy plugin i o polowe taniej :facepalm: . Glupota poplaca.


  • +
  • -
  • 0

Posiadam na sprzedaż w pełni odwzorowaną paczkę nowego coda do csgo. Kliknij by dowiedzieć się więcej!

 

- PISZE MODYFIKACJE.

- NAPRAWIAM POPSUTE PLUGINY.

- DZIALAM W DZIALACH AMXX/SOURCEMOD. MASZ ZLECENIE? PISZ.


#4 ex0

    Wolny strzelec.

  • Power User

Reputacja: 377
Wszechpomocny

  • Postów:1124
  • GG:
  • Imię:Kacper
  • Lokalizacja:Żywiec
Offline

Napisano 20.05.2016 07:21

Pluginy typu go mod sa dosc slabo wykonane, pomijajac juz reszte o ktorej napisal autor. Mialem okazje przerabiac juz tego typu pluginy, roznych autorow. Masa bledow, slaba optymalizacja kodu i kiepskie wykonanie pod wzgledem jakosci.

 

Jeszcze dodam, ze autor znacznie przeplacil. Za takie badziewie tyle baksow? Gdybys trafil na odpowiednia osobe to otrzymalbys kilkukrotnie lepszy plugin i o polowe taniej :facepalm: . Glupota poplaca.

Pierwszy wpis po X czasu więc fajnie, że padło na jakiś sensowny temat a nie byle co! 

Zacznijmy od tego, że patrząc na przeszłość pana "Krwiopijcy" nie wygląda on na osobę oświeconą, która potrafiłaby napisać GO MOD'a nawet z błędami czy słabym kodem o czym wspominasz o wielki Linuxie! 
Więc suma sumarum musiały pójść wnioski, że ten mod nie jest jego a jest to tylko spolszczenie wykonane przez niego darmowego ponąć moda z za wschodniej granicy. 
Czy to prawda? Szukałem, szukałem i nic na ten temat nie znalazłem natomiast dziwi mnie fakt, że jedna z osób właśnie, która na ten trop mnie naprowadziła posiadała pełne "oźródlenie" do tego moda, bliźniaczo podobnego wręcz tylko w języku naszych przyjaciół Putinów. 
Wniosek taki, że albo Troll, który ma pogrążyć tylko już będącego w dołku krwiopijcę LUB po prostu fakt, że gość zarobił sobie na czyjejś pracy dokladając od siebie minimum jakim jest spolszczenie modyfikacji. 

Prawdy pewnie prędko nie poznamy ale jeden fakt jest, którego podważyć się nie da. 

Gracze nie zrozumieją (w 90%) kiedy zamknie się im taki serwer mówiąc, że jest niebezpieczny bla bla bla, bo przechwytuje dane, bla bla bla. 
Oni chcą tam grać, więc póki ktoś nie wypuści darmowego równie "dobrego" GO MOD'a to niestety próżno szukać zmian, natomiast wprowadzenie nawet lepszej wersji na rynek jest możliwe, tylko od strony właścicieli, skoro już mają moda "I DOTYCHCZAS PROBLEMÓW NIE BYŁO" to po co płacić osobie trzeciej za coś co już mamy? 
Biorąc pod uwagę te fakty gość jest chwilowo nietykalny a i tak 3/4 sieci zdecyduje się na zakup tego i tkwienie w tym bagnie jakim jest "okradanie" bo cięzko szukać tutaj innego słowa ludzi z ich "prywatnych" danych... 

Do czego to wykorzystuje? Może do ściągania haraczu? 
Może do tego, że jakby chcieli przestać wspierać jego bandycką działalność by się mścił w nieznany ludziom sposób? 

Nie nam to oceniać, my możemy jedynie potępiać taki syf :)
Mam nadzieję, że sieci pójdą po rozum do głowy i znajdą alternatywę albo w własnym zakresie zlecą komuś napisanie DOBREGO GO MODA bez żadnych ukrytych luk... 
W końcu spore sieci mają też sporą gotówkę a nie wydaje mi się, że coś co daje zyski nie jest warte wyłożenia kilku dodatkowych złotych zamiast wspieranie skarbu państwa na zakupie papierosków  :giggle:


@żeby nie robić offtopu to edytuje po prostu post. 
Linux to nie żaden sarkazm ani ironia, po prostu potwierdzam Twoje słowa tylko w troszkę luźny sposób więc nie odbieraj tego tak jak odebrałeś bo nie ma żadnej potrzeby. 
Zgadzam się w pełni z Tobą, że to syfnie napisana rzecz, cud że działa i nie rzuca błędami na prawo i lewo :)


  • +
  • -
  • 0

TWORZENIE FOR SPOŁECZNOŚCIOWYCH | ZARZĄDZANIE STRONAMI INTERNETOWYMI
WSPARCIE TECHNICZNE SERWERÓW HLDS | MODERNIZACJA, OPTYMALIZACJA, ZABEZPIECZENIA


Zapraszam do mojego profilu ;)


#5 Linux'

    Pan Pomocny

  • Power User

Reputacja: 488
Wszechobecny

  • Postów:1425
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:AmxMod i SourceMod
Offline

Napisano 20.05.2016 08:51

ex0

Moze w zly sposob to odebralem. Nie bylo postu ;) .


  • +
  • -
  • 0

Posiadam na sprzedaż w pełni odwzorowaną paczkę nowego coda do csgo. Kliknij by dowiedzieć się więcej!

 

- PISZE MODYFIKACJE.

- NAPRAWIAM POPSUTE PLUGINY.

- DZIALAM W DZIALACH AMXX/SOURCEMOD. MASZ ZLECENIE? PISZ.


#6 Master Yoga

    Support Team | Mocarz

  • Support Team

Reputacja: 115
Zaawansowany

  • Postów:250
  • GG:
  • Lokalizacja:Magistrala Adresowa
Offline

Napisano 21.05.2016 14:18

Pozwolę sobie dodać kilka słów do tego tematu.

Miałem kiedyś styczność z tym modem ( w tym miejscu chciałem napisać autorstwa krwiopijcy, ale po poście ex0 powściągnę się od używania tego słowa ).

Już sam fakt, że rzekomy autor po wejściu na serwer ma wszystkie flagi dostępu daję dużo do myślenia.

Niestety dowodów przedstawić nie mogę bo sieć i bazy już nie istnieją.

Jak napisał autor tematu ( nie oszukujmy się ) krwiopijsca kradnie informacje dot. bazy danych.

Kiedyś ktoś zduplikował konto ( amxbans ) jednego z administratorów i passy przekazał administratorowi konkurencyjnej sieci.
Kilka dnia później ten sam administrator siedział z krwiopijcą na TS3.

Zastanówcie sie czy warto kupić kota w worku. Wybór należy do was.

P.S Mam do panów wyżej pewną propozycję, ale ją przedstawię już wam na PW.
  • +
  • -
  • 0

HTML      ★ CSS       ★ JAVASCRIPT       ★ AJAX       ★ JQUERY       ★ PHP       ★ C++       ★ PAWN      ★ SQL       ★ Objective-C++


#7 O'Zone

    Wszechwidzący

  • Użytkownik

Reputacja: 202
Profesjonalista

  • Postów:276
  • GG:
Offline

Napisano 01.06.2016 23:52

KrwioPijca, czyli żenady ciąg dalszy.

 

Jego strona znowu działa - niestety.

Chłopak po wcześniejszych wydarzeniach nie wyciągnął żadnych wniosków.

 

Po samym adresie url (index.php?strona=nazwastrony) założyłem, że strona jest napisana w najbardziej podstawowym php i jakiekolwiek zabezpieczenia są dla autorowi obce.

Nie myliłem się. Najprostszy sql injection (" or "a"="a) w formularzu logowania i panel admina stoi otworem.

Co najlepsze login konta administratora jest ustawiony w placeholderze - także nie trzeba było nawet zgadywać.

 

A co w panelu administracyjnym? Tylko gorzej.

Możliwość edycji użytkowników z pełnymi danymi kont - hasła nie są szyfrowane, pojawiają się otwartym tekstem.

Hasło administratora? Wystarczy spojrzeć na screen poniżej - pozostawię to bez komentarza.

Spoiler

 

Przejrzałem też skrypt "Aktywność", który można pobrać ze strony - nie jest lepiej, oj nie jest, ale niczego innego się nie spodziewałem.

Udostępnił w nim nawet dane do bazy hostowanej na swojej stronie, a fragment $pass = "niewazsie"; mówi sam za siebie.

 

Powiem tyle, jeśli ktoś nadal zamierza płacić KrwioPijcy za imitacje pluginów i skryptów,

które wychodzą spod jego ręki przy zerowym względzie na bezpieczeństwo czy optymalność, to życzę powodzenia.

 

Taka mała rada dla samego autora: To, że coś działa, nie znaczy, że jest zrobione dobrze.

 

PS. Wszystkie hasła użytkowników strony zmieniłem na niezwykle bezpieczne hasło administratora,

żeby kogoś nie kusiło, żeby próbować przy użyciu nich włamywać się na konta na innych stronach lub na same emaile.

 

Dziękuję za uwagę.


  • +
  • -
  • 4
Pomogłem? Daj Dołączona grafika

#8 mastah7991

    Wszechpomocny

  • Użytkownik

Reputacja: 146
Zaawansowany

  • Postów:387
  • Lokalizacja:Polska
Offline

Napisano 02.06.2016 07:24

KrwioPijca, czyli żenady ciąg dalszy.

Jego strona znowu działa - niestety.
Chłopak po wcześniejszych wydarzeniach nie wyciągnął żadnych wniosków.

Po samym adresie url (index.php?strona=nazwastrony) założyłem, że strona jest napisana w najbardziej podstawowym php i jakiekolwiek zabezpieczenia są dla autorowi obce.
Nie myliłem się. Najprostszy sql injection (" or "a"="a) w formularzu logowania i panel admina stoi otworem.
Co najlepsze login konta administratora jest ustawiony w placeholderze - także nie trzeba było nawet zgadywać.

A co w panelu administracyjnym? Tylko gorzej.
Możliwość edycji użytkowników z pełnymi danymi kont - hasła nie są szyfrowane, pojawiają się otwartym tekstem.
Hasło administratora? Wystarczy spojrzeć na screen poniżej - pozostawię to bez komentarza.

Spoiler


Przejrzałem też skrypt "Aktywność", który można pobrać ze strony - nie jest lepiej, oj nie jest, ale niczego innego się nie spodziewałem.
Udostępnił w nim nawet dane do bazy hostowanej na swojej stronie, a fragment $pass = "niewazsie"; mówi sam za siebie.

Powiem tyle, jeśli ktoś nadal zamierza płacić KrwioPijcy za imitacje pluginów i skryptów,
które wychodzą spod jego ręki przy zerowym względzie na bezpieczeństwo czy optymalność, to życzę powodzenia.

Taka mała rada dla samego autora: To, że coś działa, nie znaczy, że jest zrobione dobrze.

PS. Wszystkie hasła użytkowników strony zmieniłem na niezwykle bezpieczne hasło administratora,
żeby kogoś nie kusiło, żeby próbować przy użyciu nich włamywać się na konta na innych stronach lub na same emaile.

Dziękuję za uwagę.


Ciekawi mnie czy ma kopie baz danych. Jak tak należy szybko wysłać wiadomości do jego "klientów" by pozmieniali hasła


@edit


@mały offtop
właśnie rozesłałem informacje o tym temacie do wszystkich userów z jego bazy (na gg)
jedni zareagowali tak że to nic dziwnego (przecież ma prawo przechowywać wszystko)
inni z pytaniem jak ominąć licencję
a inni z normalnym zainteresowaniem.
  • +
  • -
  • 0

#9 KrwioPijca

    Pomocny

  • Użytkownik

Reputacja: 13
Początkujący

  • Postów:59
  • GG:
  • Imię:Mateusz
  • Lokalizacja:Polska
Offline

Napisano 04.06.2016 09:56

Do wcześniejszych rzeczy to powiem tak jak to było na innej stronie 
AmxBans-Podłaczenie by vipy/svipy były dodawane do bazy danych (dadane zostało a nie zostało napisane bo, gdy wypuściłem aktualizacje zobaczyłem błąd i zająłem się jego usuwaniem bo gdybym napisał to od razu by było jak to zawsze tona pośpieszania, a po co wole zrobić wolniej, a w pełni poprawnie.
RCON-Chyba nie trudno zgadnąć porozumiewanie się sklepu z serwerem by dodawana była kasa i informacje o poprawnym/błędnym kodzie SMS'a
Admin-Ciągle prosili mnie o pomoc na serwerze, bo coś nie działało i by po prostu móc sprawdzać potrzebny był ten admin, oraz dodatkowo w przypadku obejścia licencji by móc ten serwer zablokować.
 

Pluginy typu go mod sa dosc slabo wykonane, pomijajac juz reszte o ktorej napisal autor. Mialem okazje przerabiac juz tego typu pluginy, roznych autorow. Masa bledow, slaba optymalizacja kodu i kiepskie wykonanie pod wzgledem jakosci.

Fajnie wiedzieć przerabiasz innych pluginy a mnie oceniasz za prace innych. Gratuluje postawy
 

Zacznijmy od tego, że patrząc na przeszłość pana "Krwiopijcy" nie wygląda on na osobę oświeconą, która potrafiłaby napisać GO MOD'a nawet z błędami czy słabym kodem o czym wspominasz o wielki Linuxie! 
Więc suma sumarum musiały pójść wnioski, że ten mod nie jest jego a jest to tylko spolszczenie wykonane przez niego darmowego ponąć moda z za wschodniej granicy. 
Czy to prawda? Szukałem, szukałem i nic na ten temat nie znalazłem natomiast dziwi mnie fakt, że jedna z osób właśnie, która na ten trop mnie naprowadziła posiadała pełne "oźródlenie" do tego moda, bliźniaczo podobnego wręcz tylko w języku naszych przyjaciół Putinów. 
Wniosek taki, że albo Troll, który ma pogrążyć tylko już będącego w dołku krwiopijcę LUB po prostu fakt, że gość zarobił sobie na czyjejś pracy dokladając od siebie minimum jakim jest spolszczenie modyfikacji. 
Prawdy pewnie prędko nie poznamy ale jeden fakt jest, którego podważyć się nie da. [/size]

Gracze nie zrozumieją (w 90%) kiedy zamknie się im taki serwer mówiąc, że jest niebezpieczny bla bla bla, bo przechwytuje dane, bla bla bla. [/size]
Oni chcą tam grać, więc póki ktoś nie wypuści darmowego równie "dobrego" GO MOD'a to niestety próżno szukać zmian, natomiast wprowadzenie nawet lepszej wersji na rynek jest możliwe, tylko od strony właścicieli, skoro już mają moda "I DOTYCHCZAS PROBLEMÓW NIE BYŁO" to po co płacić osobie trzeciej za coś co już mamy? [/size]
Biorąc pod uwagę te fakty gość jest chwilowo nietykalny a i tak 3/4 sieci zdecyduje się na zakup tego i tkwienie w tym bagnie jakim jest "okradanie" bo cięzko szukać tutaj innego słowa ludzi z ich "prywatnych" danych... [/size]
 
Do czego to wykorzystuje? Może do ściągania haraczu? [/size]
Może do tego, że jakby chcieli przestać wspierać jego bandycką działalność by się mścił w nieznany ludziom sposób? [/size]

Człowieku nie znasz mnie to nie mów że to nie jest moje autorstwo. Jedyne co jest podobne w tych modach to wyłącznie menu. Mój mod nie ma nic w sobie rosyjskiego i nigdy nie miał ktoś chyba by się zorientował że przy debugach pisze po rosyjsku. W ostatnim czasie właśnie wiele osób mnie próbuje pogrążyć co mnie dziwi, a zaczęło się od tego, że nie chciałem dać zniżki.
 
Nie było problemów i nie będzie, bo nie po to został mod zrobiony by wprowadzić do cs1.6 coś nowego a nie utrudniać życie.
Jeszcze lepiej ściaganie haraczu. Czy kiedykolwiek się na kimś mściłem? Lub sam oszukałem/okradłem kogoś? NIE i to się nie zmieni !!!
 
 

Niestety dowodów przedstawić nie mogę bo sieć i bazy już nie istnieją.

Jak napisał autor tematu ( nie oszukujmy się ) krwiopijsca kradnie informacje dot. bazy danych.

Kiedyś ktoś zduplikował konto ( amxbans ) jednego z administratorów i passy przekazał administratorowi konkurencyjnej sieci.
Kilka dnia później ten sam administrator siedział z krwiopijcą na TS3.

Zastanówcie sie czy warto kupić kota w worku. Wybór należy do was.

P.S Mam do panów wyżej pewną propozycję, ale ją przedstawię już wam na PW.

Ciekawie zagrałeś nie masz dowodów nie masz nic tylko głupie słowo.
Parę słów ode mnie na ten głupkowaty zarzut.
Dowody zawsze się zachowuje lub  przedstawia je się na bierząco.
Jaka ta twoja sięć? Co się stało?
Z kim siedziałem kiedy to było? 
Gratuluje nawet wszystkiego nie napisałeś tylko, że ja coś z kimś zrobiłem.
Szkoda tylko, że skoro sieć i baza nie istnieje to musiało trochę czasu minąć, a amxbans to stosunkowo niedawno dałem więc nawet czas się nie pokrywa ;)

I jeszcze jedna drobnostka siedzę z dziesiątkami ludzi, bo jakbyś nie wiedział czasami są problemy np. coś nie działa, lub problemy z zainstalowanie/konfiguracja więc wchodzę by pomóc.
 

KrwioPijca, czyli żenady ciąg dalszy.
 
Jego strona znowu działa - niestety.
Chłopak po wcześniejszych wydarzeniach nie wyciągnął żadnych wniosków.
 
Po samym adresie url (index.php?strona=nazwastrony) założyłem, że strona jest napisana w najbardziej podstawowym php i jakiekolwiek zabezpieczenia są dla autorowi obce.
Nie myliłem się. Najprostszy sql injection (" or "a"="a) w formularzu logowania i panel admina stoi otworem.
Co najlepsze login konta administratora jest ustawiony w placeholderze - także nie trzeba było nawet zgadywać.
 
A co w panelu administracyjnym? Tylko gorzej.
Możliwość edycji użytkowników z pełnymi danymi kont - hasła nie są szyfrowane, pojawiają się otwartym tekstem.
Hasło administratora? Wystarczy spojrzeć na screen poniżej - pozostawię to bez komentarza.
 
 
Przejrzałem też skrypt "Aktywność", który można pobrać ze strony - nie jest lepiej, oj nie jest, ale niczego innego się nie spodziewałem.
Udostępnił w nim nawet dane do bazy hostowanej na swojej stronie, a fragment $pass = "niewazsie"; mówi sam za siebie.
 
Powiem tyle, jeśli ktoś nadal zamierza płacić KrwioPijcy za imitacje pluginów i skryptów,
które wychodzą spod jego ręki przy zerowym względzie na bezpieczeństwo czy optymalność, to życzę powodzenia.
 
Taka mała rada dla samego autora: To, że coś działa, nie znaczy, że jest zrobione dobrze.
 
PS. Wszystkie hasła użytkowników strony zmieniłem na niezwykle bezpieczne hasło administratora,
żeby kogoś nie kusiło, żeby próbować przy użyciu nich włamywać się na konta na innych stronach lub na same emaile.
 
Dziękuję za uwagę.

Dziękuje, że wbiłeś mi o północy gdy przerabiałem skrypt logowania i dane na wejściu nie były w żaden sposób filtrowane, bo szły zastępczą stroną która działa gdy główna jest edytowana. I tak tak styl ten sam. Jakbyś próbował o innej porze dnia lub nocy gdy nie edytowałem żaden sposób na mysql injection by ci nie pomógł.
Hasła nie były szyfrowane, bo nie zdążyłem tego zrobić, wtedy tego zrobić dopiero wieczorem to zrobiłem.
Randomowe hasła też zostały mailem wysłane do użytkowników by to co ty zdobyłeś nikomu nie pomogło.
Hasło było jakie było specjalnie na taką okazje ;) i zanim dokoncze wszystkie pierdoły
Zapominasz o jednym chłopie osobą łamiącą prawo jesteś ty 
Art. 267 § 1. Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie,
podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
 
 

Ciekawi mnie czy ma kopie baz danych. Jak tak należy szybko wysłać wiadomości do jego "klientów" by pozmieniali hasła
 
 
@mały offtop
właśnie rozesłałem informacje o tym temacie do wszystkich userów z jego bazy (na gg) 
jedni zareagowali tak że to nic dziwnego (przecież ma prawo przechowywać wszystko)
inni z pytaniem jak ominąć licencję 
a inni z normalnym zainteresowaniem.

Tak mam kopie i się od razu tym zająłem ;)
Gratuluje mi się włamali, a ty oczerniasz mnie. Ciekawi mnie jaki twój cel w tym jest i czemu tak późno się o tym temacie dowiedziałem.


  • +
  • -
  • 0

Żegnam wszystkich.


#10 Jaszczurek

    Pomocny

  • Użytkownik

Reputacja: 2
Nowy

  • Postów:55
Offline

Napisano 04.06.2016 18:43

"Jeszcze lepiej ściaganie haraczu. Czy kiedykolwiek się na kimś mściłem? Lub sam oszukałem/okradłem kogoś? NIE i to się nie zmieni !!!"

 

 

Powiem tak, zaraz na początku go moda, kupiłem u ciebie licencję za niemałe pieniądze (dla ciebie może są małe), 125 zł licencja na sieć.

Teraz okazuje się, że żeby utrzymać licencję muszę płacić miesięcznie 10 zł. Dla mnie to bezsens, bo gdybym wiedział na początku że później będę musiał płacić miesięcznie, to w ogóle bym tej licencji nie kupił. Więc Ja jednak czuje się trochę okradziony.


  • +
  • -
  • 1

#11 GeDox

    Wszechpomocny

  • Użytkownik

Reputacja: 125
Zaawansowany

  • Postów:315
  • Steam:steam
  • Imię:Przemysław
  • Lokalizacja:Kielce
Offline

Napisano 04.06.2016 21:41


AmxBans-Podłaczenie by vipy/svipy były dodawane do bazy danych (dadane zostało a nie zostało napisane bo, gdy wypuściłem aktualizacje zobaczyłem błąd i zająłem się jego usuwaniem bo gdybym napisał to od razu by było jak to zawsze tona pośpieszania, a po co wole zrobić wolniej, a w pełni poprawnie.

Ale Twój skrypt zapisuje dane w innej bazie danych... :)

 


RCON-Chyba nie trudno zgadnąć porozumiewanie się sklepu z serwerem by dodawana była kasa i informacje o poprawnym/błędnym kodzie SMS'a

RCONem? :o A myślałem, że sockety są od tego...

 


Admin-Ciągle prosili mnie o pomoc na serwerze, bo coś nie działało i by po prostu móc sprawdzać potrzebny był ten admin, oraz dodatkowo w przypadku obejścia licencji by móc ten serwer zablokować.

No i co z tego, ale inni nie potrzebowali. Złamałeś ten swój śmieszny paragraf:

Kto bez uprawnienia uzyskuje dostęp do informacji dla niego nieprzeznaczonej, otwierając zamknięte pismo, podłączając się do sieci telekomunikacyjnej lub przełamując albo omijając elektroniczne, magnetyczne, informatyczne lub inne szczególne jej zabezpieczenie

 


Dziękuje, że wbiłeś mi o północy gdy przerabiałem skrypt logowania i dane na wejściu nie były w żaden sposób filtrowane, bo szły zastępczą stroną która działa gdy główna jest edytowana. I tak tak styl ten sam. Jakbyś próbował o innej porze dnia lub nocy gdy nie edytowałem żaden sposób na mysql injection by ci nie pomógł.

Kodowanie haseł to podstawwa.

 


Zapominasz o jednym chłopie osobą łamiącą prawo jesteś ty

Ty też, nie posiadasz działalności gospodarczej. Poczekaj jak skarbówa się przyczepi :)

 


Powiem tak, zaraz na początku go moda, kupiłem u ciebie licencję za niemałe pieniądze (dla ciebie może są małe), 125 zł licencja na sieć.

Teraz okazuje się, że żeby utrzymać licencję muszę płacić miesięcznie 10 zł. Dla mnie to bezsens, bo gdybym wiedział na początku że później będę musiał płacić miesięcznie, to w ogóle bym tej licencji nie kupił. Więc Ja jednak czuje się trochę okradziony.

To nie przedłużaj, proste.

 

 


  • +
  • -
  • 0

#12 ex0

    Wolny strzelec.

  • Power User

Reputacja: 377
Wszechpomocny

  • Postów:1124
  • GG:
  • Imię:Kacper
  • Lokalizacja:Żywiec
Offline

Napisano 04.06.2016 21:41

Pomijając fakt, że chłopaczek rzuca paragrafami które jego samego pogrążają, bo sam przechwytuje nielegalnie i bez wiedzy osób które modyfikacje posiadają dane do ich PRYWATNYCH baz danych :)

essa dude.


  • +
  • -
  • 1

TWORZENIE FOR SPOŁECZNOŚCIOWYCH | ZARZĄDZANIE STRONAMI INTERNETOWYMI
WSPARCIE TECHNICZNE SERWERÓW HLDS | MODERNIZACJA, OPTYMALIZACJA, ZABEZPIECZENIA


Zapraszam do mojego profilu ;)


#13 Boziak

    Początkujący

  • Autor tematu
  • Użytkownik

Reputacja: 17
Początkujący

  • Postów:16
  • Imię:b
Offline

Napisano 05.06.2016 04:01

Krwiopijco czy to nie dziwne że zawsze coś robisz?
Amxbans... Pisałem na innym forum, mogłeś pobrać i użyć lokalnie bez serwerów trzecich.

Dostęp do serwerów jako admin jest nadal możliwy. Wystarczy odpowiednie _pw i nie myśl że ukrywanie za pomocą zmiennych pomoże Ci przy mojej osobie. ASM jest moim światem :)

Zjadł Cię takim injectem i znów hasło... Idealnie do Ciebie pasujące.


Z innej beczki źle to odbierasz nikt się na Ciebie nie uparł... Za jakąś tam zniżkę o O której wspomniałeś. Odbierz to jako wyzwanie i udowodnij że jesteś tą osobą ob której możemy przeczytać na Twojej stronie.
Bezpieczeństwo danych, podstawa! Szczególnie jeśli chodzi o dane Twoich klientów.
  • +
  • -
  • 1

#14 DarkGL

    Nie oddam ciasteczka !

  • Administrator

Reputacja: 6032
Godlike

  • Postów:10825
  • GG:
  • Steam:steam
  • Imię:Rafał
  • Lokalizacja:Warszawa
Offline

Napisano 05.06.2016 06:21

Nie myliłem się. Najprostszy sql injection (" or "a"="a) w formularzu logowania i panel admina stoi otworem.

Co najlepsze login konta administratora jest ustawiony w placeholderze - także nie trzeba było nawet zgadywać.

 

Mam nadzieję że to żart


  • +
  • -
  • 0

#15 GeDox

    Wszechpomocny

  • Użytkownik

Reputacja: 125
Zaawansowany

  • Postów:315
  • Steam:steam
  • Imię:Przemysław
  • Lokalizacja:Kielce
Offline

Napisano 05.06.2016 09:10

 

Nie myliłem się. Najprostszy sql injection (" or "a"="a) w formularzu logowania i panel admina stoi otworem.

Co najlepsze login konta administratora jest ustawiony w placeholderze - także nie trzeba było nawet zgadywać.

 

Mam nadzieję że to żart

 

Niestety, to prawda. W .amxx niezakodowane połączenie z bazą danych (wszystko na wierzchu)/
 


  • +
  • -
  • 0

#16 KrwioPijca

    Pomocny

  • Użytkownik

Reputacja: 13
Początkujący

  • Postów:59
  • GG:
  • Imię:Mateusz
  • Lokalizacja:Polska
Offline

Napisano 05.06.2016 09:38

RCON-Kiedyś nie miałem połączonego sklepu za pomocą socketów tylko RCON'a dlatego był potrzebny

AmxBans-Tak był w mojej bazie, bo po wykupieniu usługi leciał socket by bywykonać polecenie dodające usługe na waszym serwie

 

Jaszczurek co ty pieprzysz za przeproszeniem? Masz licencje na sieć która jest bez opłat więc o jakich 10zł ty mówisz? Żadna licencja na sieć nie miała dodatkowych opłat.

 

Boziak to może jak zobaczycie błąd to napiszcie mi i może nawet jak go naprawić, a nie pisać na forum "Patrzcie on ma tu błąd!!!".

 

DarkGL na prawdę weszli ale tak jak mówiłem po prostu pecha miałem, że wtedy edytowałem system logowania i nie miał wtedy nic zabezpieczającego w sobie żadnych specjalnych funkcji.

 

GeDox czytałeś to? czy po prostu tak odpisałeś trochę już nie na temat

 

 

 

Widzicie błąd możecie przecież powiedzieć, a nie wykorzystywać


  • +
  • -
  • 0

Żegnam wszystkich.


#17 Linux'

    Pan Pomocny

  • Power User

Reputacja: 488
Wszechobecny

  • Postów:1425
  • Steam:steam
  • Imię:Sebastian
  • Lokalizacja:AmxMod i SourceMod
Offline

Napisano 05.06.2016 11:22

Kontakt jezeli zdecydowales sie, na prowadzenie sklepu, forum czy tez jakiego kolwiek portalu to twoim obowiazkiem jest poprawne zabezpieczenie danych tak by nigdy nie ujrzaly one swiatla dzienniego. Twoje tlumaczenia sa co najmniej absurdalne i swiadcza o braku wiedzy w tym zakresie. Kolejna sprawa to to, ze nie masz zadnych praw by wykradac bo tak to musze nazwac dane z innych baz, uzytkownikow ktorzy zakupia dany plugin. Do tego dochodzi jeszcze brak kodu zrodlowego, ktory masz obowiazek zalaczyc o czym napisal juz GwynBleid. I ty uwazasz, ze twoje dzialania sa wporzadku?


  • +
  • -
  • 3

Posiadam na sprzedaż w pełni odwzorowaną paczkę nowego coda do csgo. Kliknij by dowiedzieć się więcej!

 

- PISZE MODYFIKACJE.

- NAPRAWIAM POPSUTE PLUGINY.

- DZIALAM W DZIALACH AMXX/SOURCEMOD. MASZ ZLECENIE? PISZ.


#18 Jaszczurek

    Pomocny

  • Użytkownik

Reputacja: 2
Nowy

  • Postów:55
Offline

Napisano 05.06.2016 15:57

Jaszczurek co ty pieprzysz za przeproszeniem? Masz licencje na sieć która jest bez opłat więc o jakich 10zł ty mówisz? Żadna licencja na sieć nie miała dodatkowych opłat.

 

Nie wiem, na twojej stronie jest przekreślona licencja v1, dlatego myślałem że licka v1 została już usunięta i zastąpiona v3.

Jeśli się mylę, to zwracam honor.


Użytkownik Jaszczurek edytował ten post 05.06.2016 16:04

  • +
  • -
  • 0

#19 Boziak

    Początkujący

  • Autor tematu
  • Użytkownik

Reputacja: 17
Początkujący

  • Postów:16
  • Imię:b
Offline

Napisano 05.06.2016 21:39

RCON-Kiedyś nie miałem połączonego sklepu za pomocą socketów tylko RCON'a dlatego był potrzebny
AmxBans-Tak był w mojej bazie, bo po wykupieniu usługi leciał socket by bywykonać polecenie dodające usługe na waszym serwie

Jaszczurek co ty pieprzysz za przeproszeniem? Masz licencje na sieć która jest bez opłat więc o jakich 10zł ty mówisz? Żadna licencja na sieć nie miała dodatkowych opłat.

Boziak to może jak zobaczycie błąd to napiszcie mi i może nawet jak go naprawić, a nie pisać na forum "Patrzcie on ma tu błąd!!!".

DarkGL na prawdę weszli ale tak jak mówiłem po prostu pecha miałem, że wtedy edytowałem system logowania i nie miał wtedy nic zabezpieczającego w sobie żadnych specjalnych funkcji.

GeDox czytałeś to? czy po prostu tak odpisałeś trochę już nie na temat



Widzicie błąd możecie przecież powiedzieć, a nie wykorzystywać



Widzisz. Jestem dość specyficznym człowiekiem, badam zachowania i zamiary. Stąd też zanim cokolwiek zobaczyło światło dzienne prowadziłem z Tobą rozmowę udając klienta, niestety tego egzaminu nie udało Ci się zdać i na dziś dzień tak wygląda sytuacja.

Jeśli chodzi o inject powiedz... Zdajesz sobie sprawę że taka podatność nie występuje nawet w darmowych skryptach logowania? No chyba że użyłeś czegoś z 2006 roku.
Stąd można wystawiać opinie o jak widać znikomej ilości wiedzy którą posiadasz, niestety wygląda to na tak zwane lepienie kodu niż faktyczne programowanie.

Twój gomod używa takie same natywy jak silnik napisany przez użytkownika Oen. z tego forum. (Nie tylko nazwy się zgadzają)
Konstrukcja bazy danych również jest bardzo podobna.

Wybranie Sql jako systemu do sprawdzania licencji przy używaniu haseł dostępnych w słownikach...
Nie ważne jakbyś to zabezpieczył w samym kodzie... Słabe hasło Cię gubi!

Połączenie z mysql bez SSL...

SHA1( password ) XOR SHA1( salt <concat> SHA1( SHA1( password ) ) )

Nazwa użytkownika bazy oraz sól jest jawne. Sól dajesz w SHA-1 i mielisz tym hash hasła... Przy Twoich hasłach nawet słaby sprzęt poradził by sobie w okolicy 30 minut.
Co za tym idzie kolejny wyciek danych.

Usiądź, pomyśl... Odpuść. Nie staraj się na siłę zarobić przy takim braku kompetencji.
  • +
  • -
  • 2

#20 KrwioPijca

    Pomocny

  • Użytkownik

Reputacja: 13
Początkujący

  • Postów:59
  • GG:
  • Imię:Mateusz
  • Lokalizacja:Polska
Offline

Napisano 06.06.2016 16:21

Linux żadne dane nie zostały skradzione nic na nich nie było robione (bo wystąpił błąd którego przed aktualizacja nie widziałem)

 

Boziak zostało wszysko zmienione jak wiadomo człowiek uczy się na błędach tak było jest i będzie. Jak są wzloty to też są upadki. Tylko kto nic nie robi nie popełnia błędów. Uczę się wszystkiego sam nie mam "mentora", więc nie ma mi kto zwrócić uwagi dla niektórych "oczywiste" rzeczy.

Powiadałeś o CS:GO Modzie tylko natywy zapomniałeś o cvarach i forwardach? 

Jest część podobna bo jak mam nazwać inaczej cvar csgo_skiny_ak47 , a raczej po co jest tak zrobione by każdy się umiał nawet domyśleć bez czytania instrukcji o co z danym cvarem chodzi. Po co miałem utrudniać zmyślnymi nazwami cvarów?

 

Nawet gdy ci się udało wejść do licencji nie mogłeś NIC zrobić, bo MySQL ci błąd wywalał przez uprawnienia użytkownika jedynie do select'u

 

Obecnie strona, a raczej cała baza (wszystkie informacje na temat użytkownika) są zaszyfrowane, a hasło zahashowane.

Panel do logowania jak i inne formularze są w pełni zabezpieczone i takiej powtórki nie będzie.

 


  • +
  • -
  • -1

Żegnam wszystkich.





Użytkownicy przeglądający ten temat: 0

0 użytkowników, 0 gości, 0 anonimowych