#1 23. April 2008 java passwort erkennbar? Hallo, ich würde gern wissen ob man auf der Seite das Kennwort aus dem Quelltext erfahren kann. Für normale user Groupboard - free online whiteboard and chat Für admin Groupboard - free online whiteboard and chat Es ist ein Java-Applet Drawing Board Ich habe gehört, dass ein Java Kennwort eine abgeschlossene Tür ist, wobei der Schlüssel aber in der Nähe liegen soll. Man muss eben nur genauer hingucken wo der Schlüssel versteckt ist, doch ich habe leider nichts gefunden. + Multi-Zitat Zitieren
#2 23. April 2008 AW: java passwort erkennbar? du solltest dich vllt. erstmal drüber informieren, was Java und was JavaScript ist Wodka und Wasser ist auch nicht das selbe bei JavaScript lässt sich das Passwort meist (mit etwas Mühe) rausfinden bei Java kannst du das total vergessen + Multi-Zitat Zitieren
#3 23. April 2008 Ja ich weiß, dass Java kein Javascript ist, aber bei dem Drawing Board wurde auch Javascript verwendet und ich könnte mir vorstellen, dass das Kennwort da sichtbar sein kann. + Multi-Zitat Zitieren
#4 24. April 2008 AW: java passwort erkennbar? mhh... gib mal ein passwort ein und schau dir mal gleichzeitig per wireshark den traffic an, der in richtung des servers geht, auf dem das applet liegt. sollte da keine kommunikation stattfinden, dann ist das passwort irgendwo irgendwie im applet. nützt dir aber nicht unbedingt etwas, da applets afaik schon als java-bytecode vorliegen. unter umständen kann man das decompilieren. bin mir aber nicht sicher, ob man ein brauchbares ergebnis bekommt; habs selbst noch nie gemacht.. sollte traffic für das passwort über die netzwerkkarte gehen, dann kann man dies auch faken. z.b. indem man einen "proxy" im ff oder ie angibt, der dem applet ne positive nachricht zurückschickt. ob man damit was in sachen admin-zugriff erreichen kann bin ich mir net sicher... + Multi-Zitat Zitieren
#5 29. Juni 2008 AW: java passwort erkennbar? Dieses Passwort muss man doch irgendwie bekommen können. Ich weiß nicht wie man an die .class datei herankommt, denn sonst könnte man es mit decompilieren versuchen. Gibt es ein brute force program für HTTP/apache authentication, welches das passwort herausfinden kann? + Multi-Zitat Zitieren
#6 1. Juli 2008 AW: java passwort erkennbar? versuch doch mal, das appplet http://www.groupboard.com/java/groupboard.jar durch nen java decompiler zu jagen. mit dj java decompiler hab ich damals sowas ähnlich gemacht, da war's aber "nur" so'n kleines hack-me. wenn du pech hast, wird das pw mit nem datensatz aus einer externen quelle (z.b. datenbank) verglichen und dir bringt das java-applet an sich gar nix. + Multi-Zitat Zitieren
#7 6. Juli 2008 AW: java passwort erkennbar? Das applet kann man nicht decompilieren. Es ist auch unwahrscheinlich, dass das Passwort da drin ist. Ich vermute, dass das Passwort hier drin ist: http://www.groupboard.com/java/data/105/347/ in der "options" Datei. Ich bekomme aber keinen Zugriff auf diese Datei. Kann man das Passwort mit brutus oder accessdriver bruten? Wenn ja was genau muss ich dafür einstellen? + Multi-Zitat Zitieren
#8 6. Juli 2008 AW: java passwort erkennbar? Lad dir die .jar runter und änder die Dateiendung in .rar :] Dann hast du ein RAR-Archiv mit den .class-Dateien 8o + Multi-Zitat Zitieren
#10 7. Juli 2008 AW: java passwort erkennbar? winRAR kann .jar datein sogar öffnen ohne das du das umbenennst. die passwort abfrage passiert in "password_window.class" habs mal dekompiliert, blick aber ned durch + Multi-Zitat Zitieren
#11 8. Juli 2008 AW: java passwort erkennbar? In der game_pw_window.class wird mit dem Passwort die Funktion join_game aufgerufen: Code: if(event.target == ok_but) { dispose(); parent.join_game(game_id, [B]password.getText()[/B]); return true; } Die Funktion sieht so aus (ist in der groupboard.class): Code: public final void join_game(int i, [B]String s[/B]) { try { synchronized(os) { if(use_utf) { s = string_to_utf(s); } os.writeByte(130); os.writeInt(i); os.writeShort(s.length()); if(s.length() > 0) { os.writeBytes([B]s[/B]); } } } catch(IOException ioexception) { dataError(); return; } if(use_tunnel) { t.force_post(); } } os ist ein DataOutputStream, steht ganz oben in der groupboard.class: Code: DataOutputStream os; bzw. hier: Code: t = new tunnel(this); if(!t.open(s1, get_int_arg("TUNNEL_PORT", 6666), i)) { return false; } os = new DataOutputStream(t.getOutputStream()); Ich kann kein Java, aber scheinbar wird da eine Verbindung zum Server aufgebaut und dann da das Passwort abgefragt. Is aber wie gesagt nur ne Vermutung :] + Multi-Zitat Zitieren