Hackz: NAK

Die dargestellten Weisen zum Umgehen der Passworteingabe sind nur für solche gedacht, die leider ihre Account-Daten verloren haben, und dennoch dringend einen Termin auf die NAK-Seite setzen wollen!

Dieses ist keine Anleitung zum Hacken von Servern der Neuapostolischen Kirche - ich zeige lediglich den Weg auf, damit jeder Webmaster selber erkennt, welche Fehler vermieden werden können.

Ich distanziere mich von der Anwendung jenes Berichts, um Schaden zuzufügen. Dieser Artikel darf keinesfalls genutzt werden, um unerlaubt in die internen Seiten der Neuapostolischen Kirche Norddeutschland zu gelangen, sondern ist nur für solche, die ihre Accountdaten vergessen haben. 

Einfache Methode um in Bereiche zu gelangen, 

die einem normalen Internetnutzer unzugänglich bleiben sollten

Wernn man auf folgenden Link klickt, erscheint die offizielle Homepageseite von dem Bezirk HH-Ost der Neuapostolischen Kirche: http://www.nak-norddeutschland.de/bez-hamburg-ost.html !

Wenn man nun im links angezeigten Menü auf "Termine" klickt öffnet sich eine Auswahlseite, wo der Nutzer zwischen der "Gesamtübersicht der Termine" oder der "Detailansicht" wählen kann.

Öffnet man nun die Detailübersicht in einem neuen Fenster (bei Firefox: Tab), so sieht man folgende Adresszeile:

Hört sich schon mal gut an; der Anfang ist damit getan!

Nun klickt man einfach in der Adresszeile und beginnt systematisch immer den letzten Ordner der Adresse zu löschen. Sieht man sich nun die Seite an, wird ggf. angezeigt, dass Sie keine Erlaubnis haben, auf den Ordner zuzugreifen. Also geht man noch einen Ordner zurück bis man folgende Adresszeile auffindet:

Und wie man dann schnell sieht, ist man in einem Bereich, den man eigentlich nicht hätte sehen dürfen. Oder möchte die Neuapostolische Kirche Norddeutschland erlauben, den eigenen Terminkalender zu bearbeiten wenn nicht sogar zu löschen!

Nun kann man frei im Menü links wählen, ob man neue Termine hinzufügt, oder ältere bearbeiten möchte!

Das wäre z.B die URL, um den Dateneintrag Nummer 8 zu ändern.... Gibt man eine negative Zahl an, wird man förmlich freundlich darauf hingewiesen, dass alle Termine in einer internen SQL-Datenbank gespeichert werden, denn ein Fehler wird ungewollt angezeigt!

Wenn man nun die Internetseite der NAK näher untersucht und in der Datei nachschaut, die Suchmaschinen sagt, dass sie in jenen Verzeichnissen nicht krawlen sollen, merkt man, dass es eine interne NAK-Seite gibt! Auch dort kommt man ohne Passwortabfrage zu einem internen -nicht offiziellen- Terminkalender des ganzen Norddeutschen Bereiches. Und wenn man sich dort die Dateinamen ganz genau anschaut, bemerkt man, dass sie kongruent zu jenen in dem oben genannten Verzeichnis sind!

Also ergibt sich die URL für das Löschen eines Datensatzes im Terminkalender für den Bezirk HH-Ost:

http://www.nak-norddeutschland.de/fileadmin/[...]/Terminkalender/Schulungstermine/admin/delete_v.php

Und da nun wie oben auch ein Parameter angehängt wie .....

löscht den Datensatz 1!

Und wem das immer noch zu mühselig ist, der baut sich ein PHP-Script und integriert dieses auf einem gratis Hosting-Platz der auch schon beim Anmelden einer Mailadresse bei GMX oder anderen Freemailern gratis zu holen ist!

Ja, nur drei Zeilen benötigt das Mimi-Programm, welches die Datensätze von 1 bis 31 komplett löscht! Und da sag mal keiner, dass sich jemand hat Mühe geben müssen, die Datensätze zu löschen.

Immerhin ist die Änderung soweit in Sicht, dass seit dieser Woche keine Änderungen oder Löschungen mehr Möglich sind! - Aber monatelang wurde dieses Problem einfach nicht geachtet - und keiner möchte, dass sich dort Parolen oder rechtsextremistische Inhalte niederlegen, die dann von jedem Nutzer gelesen werden können.

Die Schuld fällt dann eindeutig auf den Webmaster der Seite zurück....und das wollen wir doch nicht, wenn die Kirche schon monatlich über 30 € für den Serverplatz zahlen muss... 

Tipps für die Webmaster von nak-norddeutschland.de:

• bei php basierende SQL-Abfragen einfach ein @ vor dem Befehl setzen, und schon wird die Fehlermeldung nicht mehr angezeigt!

• warum sichern Sie ihre Ordner nicht per .htaccess-Schutz. Dieser ist fast unumgänglich und bietet großes Sicherheitsvermögen

• niemals sinnverwandte Scripts erstellen: warum muss die Datei zum Löschen der "NAK Internen Termine" den selben Namen tragen, wie in dem ungeschützten Bereichs des Gebietes HH-Ost? (nämlich 'delete_v.php')

Zudem ist es nicht ratsam, wenn jeder Benutzer folgende Fehlermeldungen sehen kann, da dadurch genaue Rückschlüsse auf das CMS "Typo 3" sowie dessen Verzeichnisstruktur möglich ist!