Recent Posts

Pages: 1 ... 8 9 [10]
91
News / Re: New SSL Cert for Jabber @phcn.de
« Last post by DarthShredder on April 10, 2014, 05:00:32 pm »
I think the crtificate still missing something more  than signing by an official authority .. The chrome browser won't let me connect to the forum at all - (see attachments) - also the (pidgin based) OSX instant messenger Adium that I'm using on OXS to access my jabber account won't let me connect with an SSL Handshake error - normally I would simply trust you self signed certificate, but Chrome would not even let me display it..  :-\

First
this certificate has nothing to do with heartbleed bug. Our Jabber cert just ends on april 8th 2014 so simply we needed a new one ...

To the problem
The forum uses a Cert from 31.10.2013. The CommonName is "board.phcn.*" This could be a problem for your Chrome if it uses an old ssl lib (older than 4 years). The Cert uses 8192bits this could be a problem too
Our Jabber server uses the same style for "*phcn.de" . We also got some errors with older Pidgin versions on windows because they used an old ssl lib from 2006-2008 (why?)

Please have a look at your browser whether you see our RootCA. See my screenshot


92
News / Re: New SSL Cert for Jabber @phcn.de
« Last post by axelerator on April 10, 2014, 03:26:32 pm »
Additional image for situation above:
93
News / Re: New SSL Cert for Jabber @phcn.de
« Last post by axelerator on April 10, 2014, 03:25:13 pm »
I think the crtificate still missing something more  than signing by an official authority .. The chrome browser won't let me connect to the forum at all - (see attachments) - also the (pidgin based) OSX instant messenger Adium that I'm using on OXS to access my jabber account won't let me connect with an SSL Handshake error - normally I would simply trust you self signed certificate, but Chrome would not even let me display it..  :-\
94
Tutorials / phpbb3 Backup einspielen
« Last post by fraggle on April 08, 2014, 09:36:28 pm »
Habe vorhin ein Freeunix-Backup eines phpbb3 Forums lokal eingespielt (XAMPP auf Windows 7 aber die
Schritte lassen sich auch unter Linux durchführen ;) ) und dachte das kann für andere vielleicht auch nützlich sein wenn ich meine Vorgehensweise hier zusammenfasse.

Wie richte ich mein Backup wieder ein?

1. Backup bereitstellen (Datenbank und Webseite)
2. Webseite unter htdocs im XAMPP Verzeichnis platzieren
    C:\...\xampp\htdocs\backup
3. Datenbankdaten in der config.php anpassen
4. Datenbankdateien (*.frm, *.myd, *.myi) unter mysql\data in einem eigenen Verzeichnis platzieren
    C:\...\xampp\mysql\data\backup

Diese Schritte sollten ausreichen um wieder Zugriff auf das Forum zu haben. Einfach im Browser austesten:

localhost/backup/index.php

Hmm, Mist ich habe mein Password vergessen?

Kein Problem, durch den direkten Zugriff auf die Datenbank kann man einfach
das alte Passwort mit einem x-beliebigem über die MySQL-Konsole folgendermaßen
überschreiben:

C:\...\xampp\mysql\bin\mysql.exe -u root

Code: [Select]
mysql> show databases;
mysql> use database DatenbankName;
Database changed
mysql> UPDATE phpbb_users SET user_password = MD5('NeuesPasswort') WHERE username='ForumBenutzername';

Hat zumindest bei meinem Backup funktioniert, kann auch vorkommen das man den neuen Hash
zusammen mit einem Salt-Wert errechnen muss.

Zum Abschluss möchte ich noch auf ein hilfreiches PHP-Skript verlinken, um Dateianhänge wiederherzustellen
(mit Originalnamen + Dateiendung)

https://www.phpbb.com/kb/article/backing-up-attachments-with-their-original-filenames/

Bei vielen Dateien kann man sich die manuelle Arbeit dadurch ersparen.

Update[1]

Noch ein Hinweis darauf falls einige Tabellen beschädigt sein sollten:

Quote
Check & Repair all database tables. Depending on the version of MySQL you are running you should run MYSQLCHECK <db_name> or CHECK <table_name> followed by REPAIR <table_name>. These steps are necessary in order to ensure that the data is not corrupted. CHECK analyses for errors whilst REPAIR, well it fixes them! It also rebuilds the indexes held in the .MYI files.

http://blog.arekibo.com/restore-a-mysql-database-from-backed-up-program-files-frm-myd-myi-no-sql-dump-required/
95
News / New SSL Cert for Jabber @phcn.de
« Last post by DarthShredder on April 08, 2014, 12:27:28 pm »
We have upgraded our Jabber SSL Cert with our self-signed RootCA (like this Forum)
The Cert is 8192bit. Maybe you have to update your Jabber Client because old openssl libs would not work.
(For Pidgin: Use the newest version on windows, if need be recompile with new openssl on linux)
96
General Discussion / Re: Schaut mal ein interessanter Artikel/Blogpost/etc
« Last post by freak_out on April 06, 2014, 05:33:31 pm »
Mission Impossible: Hardening Android for Security and Privacy
https://blog.torproject.org/blog/mission-impossible-hardening-android-security-and-privacy
97
Tutorials / Tool: Moneyshot
« Last post by freak_out on April 03, 2014, 06:39:07 pm »
Vorweg will ich sagen das ich hier jetzt kein Tutorial machen werde, ich will nur ein Tool kurz vorstellen.
Ich wollte es nicht in General Discussion packen damit es nicht ganz so schnell wieder verschwindet.


Als ich letztes Jahr auf der OHM2013 war, war ich in einem Vortrag von blasty der dort sein Tool Moneyshot vorgestellt hatte.
Leider gibt es vom Vortrag scheinbar keine wirkliche Aufzeichnung dazu aber später mehr.

Das Tool Moneyshot soll die Entwicklung für Software Exploits etwas vereinfachen.
Wer sich mit Software Exploitation bzw. öfters mal CTF's wie SmashTheStack spielt wird das Tool mögen.

Wenn man z.B. weißt das bei einer Eingabe von rund 200 A's der EIP mit A's überschrieben wird,
will man natürlich wissen wieviele A's man denn nun bis zum EIP braucht. Mit Moneyshot kann man sich Patterns erzeugen lassen.
Dann nutzt mal einfach den von Moneyshot erzeugten String, führt damit das Programm aus und ruft erneut den selben Befehl von Moneyshot auf
nur das man diesmal noch den Inhalt des EIP Registers mit dran hängt.
Und schon sagt Moneyshot wieviel Platz da ist bis das EIP Register überschrieben wird.

Moneyshot kann noch einiges mehr, es bringt auch eine kleine Liste mir Shellcode mit.
Hab mir auch noch nicht alles vom Tool angeguckt.

Github: https://github.com/blasty/moneyshot/

Wie schon oben gesagt gibt es scheinbar leider keine Aufzeichnung von dem Vortrag. Ich hab aber auf Youtube ein Video wo rund 28min des Vortrags zu sehen ist. Vorallem der Wichtige teil…Demo Time!
Nur schwenkt es dort ziemlich und die Quali ist auch nicht gerade die Beste. Wobei ich auch sagen muss das es an dem Tag dort verdammt Windig war und die 2 großen Vortrags Zelte so komische Zirkus Zelte waren.
Und der Beamer hat dadurch auch ordentlich geschaukelt. Aber wer es sehen will:

Exploitus Orgasmus: Speeding up Exploit Development with Moneyshot(TM)
98
General Discussion / Re: Kreativität!!
« Last post by freak_out on April 01, 2014, 05:12:53 pm »
Schon paar Tage alt und einige kennen es schon.

Was ganz schlichtes aber dennoch nettes.

99
News / Re: Board Changelog
« Last post by freak_out on April 01, 2014, 11:03:58 am »
[01.04.2014]
- Die Youtube Videos werden nun direkt angezeigt ohne das man den Schutz dafür im Browser, wegen Mixed HTTP/HTTPS Content, deaktivieren muss.
100
General Discussion / Re: What song can you not stop listening to?
« Last post by freak_out on April 01, 2014, 10:50:26 am »
Pages: 1 ... 8 9 [10]