Cranium Опубликовано 6 Июля 2005 Жалоба Поделиться Опубликовано 6 Июля 2005 Сообственно сабж...Помогите Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Mitos Опубликовано 6 Июля 2005 Жалоба Поделиться Опубликовано 6 Июля 2005 никак Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 sM1Le Опубликовано 6 Июля 2005 Жалоба Поделиться Опубликовано 6 Июля 2005 А зачем его, собственно, узнавать? Чтобы спереть пароли пользователей с форума?Тут как-то обсуждался один из способов, чтобы отлавливать пароли пользователей в нормальном виде (при регистрации и при изменение). Правда, это не безопастно, т.к. пароли будут хранится в открытом виде в БД. Если кто-нибудь получит доступ к БД, то могут быть большие проблем...Как заметил Mitos - никак. Правда, можно попробывать подобрать к хэшу пароль. Такой метод называется брутфорсом. Как использовать этот метод, что использовать для него я описывать не буду. Ибо, нехер расшифровывать чужие хэши.А свой пароль можно восстановить с помощью "Восстановления пароля". Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Cranium Опубликовано 6 Июля 2005 Автор Жалоба Поделиться Опубликовано 6 Июля 2005 Вообще-то я сам админ форума, чужие паролу мне в принципе не нужны, но... одна падла залезла в админку... через бд нашел его пасс в md5, можно ли еще как-нибудь узнать его пароль? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 maninlove13 Опубликовано 6 Июля 2005 Жалоба Поделиться Опубликовано 6 Июля 2005 sM1Le, а где именно в бд пароли храняться? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Cranium Опубликовано 6 Июля 2005 Автор Жалоба Поделиться Опубликовано 6 Июля 2005 Люди, выручайте. Неужели в IPB админ не может узнать пароли пользователей? Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 sM1Le Опубликовано 6 Июля 2005 Жалоба Поделиться Опубликовано 6 Июля 2005 sM1Le, а где именно в бд пароли храняться?Пароли? Они хранятся в зашифрованном виде в БД. А то, что я описал - это нужно по форуму искать, как отлавливать "чистый" пароли. Была такая тема. Люди, выручайте. Неужели в IPB админ не может узнать пароли пользователей?Нет, не может. В этом нет смысла. Администратору не нужно знать пароли пользователей. Так безопастнее для всех.[1120688102:1120692743]Cranium, вот на вскидку, что я нашёл благодаря поиску:пароли на форуме 2.0.0 ?Где прописать пароль?Определения пароля пользователякак вынуть пароль пользователей?Шифрование в 2.0.0Пароли юзеров. v.2.0.3... не маленький список. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 OverHerz Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 если он залез в админку без твоего разрешения:1) удалить его2) забанить3) сменить ему пароль, только он потом его опять узнает через восстановление Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Гость Salavat Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 Ток брутом можно. Возьми прогу md5inside и ей засшифровывай хеши. На всяк случай ещё качни словарики для брута. http://www.passwords.ru/dic.htmЕсли у него пароль несложный, то может и сможешь перебрать или по словаям вначале попытайся, но возможно может не получится ! Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Valera Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 ===========через бд нашел его пасс в md5, можно ли еще как-нибудь узнать его пароль?===========В базе не хранятся пароли, ты нашел не пасс, а хеш, что не одно и тоже. Лучше бы защитой админки занялся... А приваты этого чела ты и без пароля можешь прочитать. =========3) сменить ему пароль, только он потом его опять узнает через восстановление=========Так е-майл тоже сменить можно, на свой... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 CronHost Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 если уж так горит узнать пароль, то нужно залезть в БД, достать от туда хеш, расшифровать его с помощью спецпроги (коих дофига как много). Вот и все. Тока такое проканает, если версия ворума не выше 1.3. В версиях 2.х добавляется "соль" она добавляет еще примерно около 800000 комбинаций. Так что для 2.х не проканает. Хотя если есть время .... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Fisana Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 Так е-майл тоже сменить можно, на свой... <{POST_SNAPBACK}> Почему-то меня не оставляет подозрение, что узнать пароль хотят у админа root, у которого e-mail на свой по-любому не поменяешь, будь ты хоть трижды админом, да только не root Иначе проблем бы точно не было - мейл поменял, пароль узнал, потом мейл старый вернул... Если уж так приспичило )) Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Dekker Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 Смерть MD5 было уже, обсуждали, на брут нормального семизначного пароля уйдут многие силы пня четвертого экстрим. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 GiV Опубликовано 7 Июля 2005 Жалоба Поделиться Опубликовано 7 Июля 2005 в IPB 2.0.x пароль набрутить не возможно...почему так получилось история долгая... Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Neo666 Опубликовано 10 Июля 2005 Жалоба Поделиться Опубликовано 10 Июля 2005 Я для прикола, на локалхосте ( с локальной сети ) разшифровал пароль у пацана это конечно нелегко ( особено есле у тебя есть подборщик md5 хешей, но нету нормального славоря для него )и потом завизал с этой бякой, так как все могут забить на твой форум и будеш сидеть сам с сабой базарить. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Septerrianin Опубликовано 11 Июля 2005 Жалоба Поделиться Опубликовано 11 Июля 2005 Так е-майл тоже сменить можно, на свой... <{POST_SNAPBACK}> Почему-то меня не оставляет подозрение, что узнать пароль хотят у админа root, у которого e-mail на свой по-любому не поменяешь, будь ты хоть трижды админом, да только не root Иначе проблем бы точно не было - мейл поменял, пароль узнал, потом мейл старый вернул... Если уж так приспичило ))<{POST_SNAPBACK}>В любой версии инвижена.До сих пор не исправлена эта лазейка."будь ты хоть трижды админом" - создаёшь себе отдельную группу с доступом в админку. Грохаешь группу с переносом всех её юзверей (себя) в рута.И вуаля - ты рут - что хошь потом, то и делай. Никаких особомудрствований для этого не надо. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 NikolayV Опубликовано 11 Июля 2005 Жалоба Поделиться Опубликовано 11 Июля 2005 В большинстве случаев, можно попробывать подделать Cookie обозревателя, если я правильно понял автора темы, он расчитывает под этим паролем навредить ему на других форумах, где он не админ или что-то в этом роде. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 kpuknet Опубликовано 13 Августа 2006 Жалоба Поделиться Опубликовано 13 Августа 2006 http://alimamed.pp.ru/md5/ - расшафровка MD5Угощайтесь Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 .silent Опубликовано 13 Августа 2006 Жалоба Поделиться Опубликовано 13 Августа 2006 шляпа это, а не расшифровка Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Wilddancer Опубликовано 13 Августа 2006 Жалоба Поделиться Опубликовано 13 Августа 2006 2kpuknetХех...MD5 кодируется в одну сторонуРа скодировка в этом скрипте строится на логе закодированных фраз. Тоесть пока ктонибудь не закодирует слово LOH, никто не сможет раскодировать fd712e85b2d9a7ed1c8335eaaef9c7b7 Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 xRay Опубликовано 28 Сентября 2006 Жалоба Поделиться Опубликовано 28 Сентября 2006 Есть же прожка MD5 Insideмало чтоли?Но если пароль длиный и составлен грамотно то лучше и не пробовать. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Denny Опубликовано 28 Сентября 2006 Жалоба Поделиться Опубликовано 28 Сентября 2006 А есть ещё RainbowTables намного лучше MD5Inside :wink: Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 Song Опубликовано 29 Сентября 2006 Жалоба Поделиться Опубликовано 29 Сентября 2006 А смысл "расшифровывать"? В куках хранится логин_кей. Это не пароль.Он зашфирован на 32 байта, это подбирать наверно полгода, не меньше, да и то смысла особого нет, т.к. пока подбирашь, логин_кей не раз сменится. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 [zi] Опубликовано 11 Октября 2006 Жалоба Поделиться Опубликовано 11 Октября 2006 Если кто собрался подбирать пароль к MD5 хешу, то я рекомендую ЭТОТ online-сервис по подбору паролей к хешам MD5, MySQL, SHA1. Если пароль не сложный, то Вы его узнаете. Так же можно для этих целей использовать такие программы как MD5Inside или PasswordsPro. Но, если же зашифрованный пароль состоит из сомволов разного регистра, цифр и спец. символов, то такой пароль расшифровать не представляется возможным.Далее, тут был вопрос о том, как сделать так, чтобы пароль Юзера при регистрации сохранялся где-то, в БД или же можно сделать в текстовом файле.Я предлагаю сохранять в БД. Вот как можно это реализовать.Для начала Выполняем следующий SQL-запросALTER TABLE `ibf_members_converge` ADD `converge_pass` VARCHAR( 32 ) NOT NULL ;Потом открываем файл ./sources/register.php и находим там следующие строчки $converge = array( 'converge_email' => $in_email, 'converge_joined' => time(), 'converge_pass_hash' => $passhash, 'converge_pass_salt' => str_replace( '\\', "\\\\", $salt ) );Добавляем туда одну строчку и в итоге у нас получается $converge = array( 'converge_email' => $in_email, 'converge_joined' => time(), 'converge_pass_hash' => $passhash, 'converge_pass_salt' => str_replace( '\\', "\\\\", $salt ), 'converge_pass' => $in_password );Вот и всё. Теперь в колонке converge_pass у нас будет хранится чистый пароль указанный при регистрации для каждого Юзера.Но Вы, наверное, спросите:"А что, если юзер сменит свой пароль? В БД останется старый?" - Да, но сейчас мы это исправим.Открываем файл ./sources/usercp.php и находим в нем следующую строчку$DB->do_update( 'members', array( 'member_login_key' => $key ), 'id='.$ibforums->member['id'] );Добавляем ниже$DB->do_update( 'members_converge', array( 'converge_pass' => $new_pass ), 'converge_id='.$ibforums->member['id'] );Всё, теперь, если юзер сменит пароль, то он так же заменится и в БД.В случае Топикстартера могу предложить забанить его или полностью удалить его аккаунт и, когда он зарегистрируется вновь, у Вас будет его пароль, как Вы собственно и хотели. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 xRay Опубликовано 11 Октября 2006 Жалоба Поделиться Опубликовано 11 Октября 2006 [zi]Ты в своем уме?Только довольно не здоровый админ сделает такое. Объект для взломов номер один это именно табблица с паролями.И что же полуячит злоумышленник если ан форуме такие измениня введены? Правильно он получит пароли на блюдечке с голубой каемочкой. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
0 [zi] Опубликовано 11 Октября 2006 Жалоба Поделиться Опубликовано 11 Октября 2006 xRayЯ рассказал то, о чем просил рассказать Топикстартер.А, если админ нормальный, то Злоумышленник Никогда не получит доступ к БД форума.В любом случае это можно реализовать и по другому.. не суть важно.Даже если пароли в БД не лежат в открытом виде, а лежат только хеши, то Взломщик все равно сможет пользоваться аккаунтами Юзеров форума, просто меняя определенные значения в Куках.. только, если нет привязки к IP.. хотя даже привязку к IP можно обойти при помощи X-Forwarded-For...Кстати, на форумах xakep.ru Пароли в БД лежат в открытом виде и никак не хешируются. И что?Я думаю обсуждать это бессмысленно.Я всего лишь ответил на вопрос о реализации.. а о безопасности меня никто не спрашивал. Цитата Ссылка на комментарий Поделиться на других сайтах Прочее
Вопрос
Cranium
Сообственно сабж...
Помогите
Ссылка на комментарий
Поделиться на других сайтах
26 ответов на этот вопрос
Рекомендуемые сообщения
Присоединиться к обсуждению
Вы можете ответить сейчас, а зарегистрироваться позже. Если у вас уже есть аккаунт, войдите, чтобы ответить от своего имени.