XsupergurkeX
Neu angemeldet
- Registriert
- 22 Jan. 2017
- Beiträge
- 14
Hey Leute,
da ich mich hier im Board noch nicht vorgestellt habe und bis jetzt immer ein stiller Mitleser war erstmal ein freundliches 'hallo' in die Runde.
Ich denke, bei euch bin ich mit meinem Anliegen richtig, also schieß ich mal direkt los:
Die Berufsschule, die ich zur Zeit besuche verwendet eine Software Namens 'MNS+' zur Netzwerkverwaltung. Also Internetfreigaben, Monitore sperren und so weiter. Die Software besteht aus mehreren Modulen, wovon ich eins schon 'überlisten' konnte.
Die Software ist auf jedem Rechner installiert, erscheint bei einer Schüleranmeldung aber nicht auf dem Desktop und lässt sich auch aus dem Programmverzeichnis nicht starten. Mit einem lokalen Admin mit dem Namen eines Lehreres allerdings schon ^^
Es wird also nicht gecheckt, ob der Nutzer auch in def Domäne angemeldet ist.
Allerdings betrifft das nur das Verwaltungsmodul. Damit kann man zwar so lustigen Schnick Schnack machen, wie Monitore sperren, und Rechner Fernsteuern, allerdings keine Internetfreigaben erteilen.
Dafür ist das Grundmodul zuständig. Dieses ist nicht als Software auf den Rechnern installiert, sondern ist über einen Webserver über den Port 1234 erreichbar. Die Verbindung wird nicht per HTTPS verschlüsselt.
Ruft man als Schüler den Server mit dem Browser auf, startet das Modul und man ist direkt mit seinem Namen angemeldet (kein weiterer login notwendig). Cookies werden soweit ich gesehen habe keine Angelegt.
Mein Vorhaben könnt ihr euch sicherlich schon denken.
Ich möchte, dass mich der Server für einen Lehrer hält.
Leider kenne ich mich da nicht genug aus. Es gibt ja die Möglichkeit, session cookies von nicht verschlüsselten Verbindungen abzugreifen, aber hier werden ja gar keine angelegt. Oder soll ich einfach mit Wireshark schauen, was auf dem Port 1234 so passiert ?
Und wie mache ich dann weiter? Oder gibt es trotz det unverschlüsselten Verbindung und dem fehlenden login keine Möglichkeit da was zu machen, und verschwende ich nur meine Zeit ?
Ich denke, hier haben viele mehr Ahnung von der Materie als ich, also bin ich mal auf eure Antworten gespannt.
Ein fröhliches Karnevalswochenende euch allen ^^
da ich mich hier im Board noch nicht vorgestellt habe und bis jetzt immer ein stiller Mitleser war erstmal ein freundliches 'hallo' in die Runde.
Ich denke, bei euch bin ich mit meinem Anliegen richtig, also schieß ich mal direkt los:
Die Berufsschule, die ich zur Zeit besuche verwendet eine Software Namens 'MNS+' zur Netzwerkverwaltung. Also Internetfreigaben, Monitore sperren und so weiter. Die Software besteht aus mehreren Modulen, wovon ich eins schon 'überlisten' konnte.
Die Software ist auf jedem Rechner installiert, erscheint bei einer Schüleranmeldung aber nicht auf dem Desktop und lässt sich auch aus dem Programmverzeichnis nicht starten. Mit einem lokalen Admin mit dem Namen eines Lehreres allerdings schon ^^
Es wird also nicht gecheckt, ob der Nutzer auch in def Domäne angemeldet ist.
Allerdings betrifft das nur das Verwaltungsmodul. Damit kann man zwar so lustigen Schnick Schnack machen, wie Monitore sperren, und Rechner Fernsteuern, allerdings keine Internetfreigaben erteilen.
Dafür ist das Grundmodul zuständig. Dieses ist nicht als Software auf den Rechnern installiert, sondern ist über einen Webserver über den Port 1234 erreichbar. Die Verbindung wird nicht per HTTPS verschlüsselt.
Ruft man als Schüler den Server mit dem Browser auf, startet das Modul und man ist direkt mit seinem Namen angemeldet (kein weiterer login notwendig). Cookies werden soweit ich gesehen habe keine Angelegt.
Mein Vorhaben könnt ihr euch sicherlich schon denken.
Ich möchte, dass mich der Server für einen Lehrer hält.
Leider kenne ich mich da nicht genug aus. Es gibt ja die Möglichkeit, session cookies von nicht verschlüsselten Verbindungen abzugreifen, aber hier werden ja gar keine angelegt. Oder soll ich einfach mit Wireshark schauen, was auf dem Port 1234 so passiert ?
Und wie mache ich dann weiter? Oder gibt es trotz det unverschlüsselten Verbindung und dem fehlenden login keine Möglichkeit da was zu machen, und verschwende ich nur meine Zeit ?
Ich denke, hier haben viele mehr Ahnung von der Materie als ich, also bin ich mal auf eure Antworten gespannt.
Ein fröhliches Karnevalswochenende euch allen ^^
Zuletzt bearbeitet:
? - Es tauchen Lücken auf und dann dauert es eine Weile, bis ein Großteil, also vielleicht nicht mal alle, Systeme sicher gemacht worden sind? Oder es wird veraltete Software/Hardware verwendet...
