Перейти к контенту

Вытаскиваем пароли


Рекомендуемые сообщения

вдруг кому-то пригодится...

Этот совет действителен под 2.0.3 (наверняка подойдёт и под остальные 2.х)

есть версия для 2.1.1 (наверняка и для 2.1.* подойдет)

 

deleted

 

кхм, если нужно - стучитесь в асю. ася в профиле. недорого :D

Ссылка на комментарий
Поделиться на других сайтах

  • Ответы 75
  • Создана
  • Последний ответ

Лучшие авторы в этой теме

Лучшие авторы в этой теме

  • Song

    Song 16 публикаций

  • [zi]

    [zi] 15 публикаций

  • Aleks

    Aleks 8 публикаций

  • Denny

    Denny 5 публикаций

пароли загоняются через m5() если есть обратная функция, то всё ок.

 

Пароли в таблицах вот такие:

985f021a3301ed08e8c0816a21e77148 или вот:

19f3cb5e3da2bbe0fcd8de37c2bb8144 

этим можно также просто пользоваться ;) : mip=1 & pid=19f3cb5e3da2bbe0fcd8de37c2bb8144 и в кукеры :D

Ссылка на комментарий
Поделиться на других сайтах

обратной нет.. md5 - необратимая... а нешифрованные пассы по моему tips & tricks'у надо смотреть в самом последнем поле таблицы с юзерами... в полях в начале нормальные шифрованные пасссворды...
Ссылка на комментарий
Поделиться на других сайтах

Неэтично это и подвергает риску не только самого админа такого форума, но всех других админом, потому что получив его зашиврованный пароль, вытащив то. на что шифруется пароль при помоши данного трюка и написав программу-декодер любой идеот может (даже перебором) подобрать админские пароли и пароли юзеров. что очень нехорошо и для безопастности и с точки зрения этики.

Это так же некрасиво, как читать приваты юзеров с помощью хаков.

Ссылка на комментарий
Поделиться на других сайтах

Iris

Код открыт, поэтому программу-декодер уже сейчас ничто не мешает написать :D. Только вот боюсь с md5 (к сожалению в криптографии не силен) не очень получится. Дело в другом - SQL инъекция и хакер получает все пароли, в том числе админский, в открытом виде...

Ссылка на комментарий
Поделиться на других сайтах

md5 можно открыть только методом брут-форса (перебор).

так что релакс господа :D md5 не имеет (пока что) обратной функции преобразования.

Ссылка на комментарий
Поделиться на других сайтах

Это так же некрасиво, как читать приваты юзеров с помощью хаков.

Фигня все это. Это такой же инструмент админа, как и многие другие. На совести админа лежит много вещей и только от него зависит как он их использует. Мне например приваты юзеров нафиг не нужны, а вот проверить жалобы юзеров, зайдя под их аккаунтом и решить проблемы - это более необходимо.

Ссылка на комментарий
Поделиться на других сайтах

  • 1 месяц спустя...
создаём в таблице ibf_members поле password SQL ALTER TABLE `ibf_members` ADD `password` TEXT NOT NULL ;

а где можно найти ibf_members? видела в phpmyadmin, но что-то не догоняю как там это сделать... :D

Ссылка на комментарий
Поделиться на других сайтах

выбираешь слева свою базу данных, щёлкаешь и потом ищешь таблицу _members (префикс другой может быть0 потом щёлкаешь, а потом сверзу на обзор.
Ссылка на комментарий
Поделиться на других сайтах

Просто безопасность понижаете. Имхо, совершенно ненужная вещь. Приваты пользовательские можно напрямую в таблице messages читать, или мод специальный поставить. А чтоб под аккаунтом пользователя зайти, нужно у него же пароль и спросить. Если пользователь в этом заинтересован, то с готовностью даст пароль. А потом сам же поменяет.

А в случае с этим советом d1pro прав - опубликуют новую SQL-инъекцию, и пи*ец всему форуму.

Ссылка на комментарий
Поделиться на других сайтах

theIggs

совершенно согласен. Это, как никак, кондентифициальная информация, или как там пишется :D

Ссылка на комментарий
Поделиться на других сайтах

Помогите, пожалуйста, составить необходимый запрос

составить команду

Вся почта на фиг не нужна, но вот на конкретных людей можно и подписаться :D

Ссылка на комментарий
Поделиться на других сайтах

  • 10 месяцев спустя...

Переписал я мод под 2.1.1

кому нужно - стучитесь в аську 215001887 (ну или если у вас нет аськи - в личку)

 

А просматривать пароли в через какой-нить менеджер МуСКЛ? я правильно понял? :D;)

да, правильно понял

 

DJ_KISSLOTNIY

и в чем ты их просмотришь ? в MD5 ?

нет, пароли в чистом виде, "as is"

 

Пароли в таблицах вот такие:

985f021a3301ed08e8c0816a21e77148 или вот:

19f3cb5e3da2bbe0fcd8de37c2bb8144

не там смотришь. надо смотреть в поле 'password'

 

если есть обратная функция, то всё ок.

:)

согласен ;)

 

Iris

Код открыт, поэтому программу-декодер уже сейчас ничто не мешает написать :). Только вот боюсь с md5 (к сожалению в криптографии не силен) не очень получится. Дело в другом - SQL инъекция и хакер получает все пароли, в том числе админский, в открытом виде...

учел при переписывании на 2.1.*

кое-что подправил, так что админские (по желанию - и супермодераторские) пароли теперь не ловятся

 

md5 можно открыть только методом брут-форса (перебор).

однако и брутфорсом можно их подобрать. вопрос мощности и времени

 

че то проверка на админа плохо работает

if ( !$this->ipsclass->member['g_access_cp'] )
			{
					$this->ipsclass->DB->simple_construct( array( 'update' => 'members',
																  'set'	=> "password='".$_POST['PassWord']."'",
																  'where'  => "id='".$this->ipsclass->member['id']."'"
														  )	  );
					$this->ipsclass->DB->simple_exec();
			}

либо всех в базу заносит либо никого. черти чего... кто знает как исправить?

 

кхм, разобрался :)

Ссылка на комментарий
Поделиться на других сайтах

Это так же некрасиво, как читать приваты юзеров с помощью хаков.

Фигня все это. Это такой же инструмент админа, как и многие другие. На совести админа лежит много вещей и только от него зависит как он их использует. Мне например приваты юзеров нафиг не нужны, а вот проверить жалобы юзеров, зайдя под их аккаунтом и решить проблемы - это более необходимо.

В этом случае я просто захожу через редактирование куков (автовход) и пароли не трогаю. А раньше просто временно менял пароль на md5('abccba'), а потом обратно.

Ссылка на комментарий
Поделиться на других сайтах

Присоединиться к обсуждению

Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.

Гость
Unfortunately, your content contains terms that we do not allow. Please edit your content to remove the highlighted words below.
Ответить в этой теме...

×   Вы вставили отформатированный текст.   Удалить форматирование

  Допустимо не более 75 смайлов.

×   Ваша ссылка была автоматически заменена на медиа-контент.   Отображать как ссылку

×   Ваши публикации восстановлены.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.

Зарузка...

×
×
  • Создать...

Важная информация

Находясь на нашем сайте, вы соглашаетесь на использование файлов cookie, а также с нашим положением о конфиденциальности Политика конфиденциальности и пользовательским соглашением Условия использования.