Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> Zmiana kodowania hasla w skrypcie
dudekkris3
post 9.01.2013, 23:45:44
Post #1





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 9.01.2013

Ostrzeżenie: (0%)
-----


Witam, nie wiem czy to dobry temat jeżeli nie to proszę o przeniesienie
poszukuje osoby która była by w stanie zmienić mi kodowanie hasła w skrypcie który posiadam, chodzi o to ze skrypt ten odczytuje hasło w SHA256
a mi jest potrzebne Whirlpool gdyż w nim mam zakodowana bazę danych.

link do skryptu: http://pastebin.com/nNu5hRgJ
link do strony pluginu który zapisuje moje hasła: https://github.com/lycano/xAuth/wiki/Password-Hashing

Nie wiem czy to jest trudne bo znam tylko "powierzchownie" HTML wiec proszę nie spamować komentarzy typu "nie da rady" itp.

Po więcej informacji lub jakieś propozycje proszę pisać na PW
Go to the top of the page
+Quote Post
thek
post 10.01.2013, 00:10:14
Post #2





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




To głównie operacje przy funkcji hash, które możesz nawet sam przeprowadzić. Zmień tam 'sha256' na 'whirlpool' i powinno zadziergać.

Jakby co.... Linia 24 i 27 smile.gif

EDIT: A na przyszłość nie strasz takim starym kodem wink.gif stripslashes, mysql_real_escape_string... to już powinno być deprecated dawno i na zasadzie: "A tak dzieci kochane pisało się ponad 10 lat temu i jest to tylko pole dla dziur w skrypcie pod kątem bezpieczeństwa". Spal, zapomnij, użyj PDO smile.gif
Powód edycji: [thek]: Komentarz.


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
dudekkris3
post 10.01.2013, 00:32:59
Post #3





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 9.01.2013

Ostrzeżenie: (0%)
-----


Dzieki za szybką odpowiedź jednak to chyba nie dziala,

zamieniłem tak jak mówiłeś : http://pastebin.com/Mb0Murpb

lecz teraz po wpisaniu loginu i hasla z whirlpool i kliknięciu login strona sie "odświeża" i znowu wyskakuje okno logowania,

dodam ze inne hasło zapisane w SHA256 tez nie działa ale wyskakuje ze jest błędna nazwa użytkownika lub hasło
Go to the top of the page
+Quote Post
thek
post 10.01.2013, 00:47:59
Post #4





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




pewnie trzeba jeszcze zmodyfikować linię 22, bo tam masz rozpoznawanie typu algorytmu. Chodzi mi o
if( $sha_info[1] === "SHA" )

Nie wiem co tam w bazie trzymasz do rozpoznania, że masz do czynienia z whirlpoolem.


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
dudekkris3
post 10.01.2013, 00:51:23
Post #5





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 9.01.2013

Ostrzeżenie: (0%)
-----


CREATE TABLE `authme` (
`id` INTEGER AUTO_INCREMENT,
`username` VARCHAR(255) NOT NULL,
`password` VARCHAR(255) NOT NULL,
`ip` VARCHAR(40) NOT NULL,
`lastlogin` BIGINT,
to jest tabela
skrypt ma odczytywać username jako login i password jaki hasło w kodowaniu whirlpoolem

moim zdaniem : if( $sha_info[1] === "SHA" ) odpowiada za poczatek kodowanego hasla w SHA256

przykładowy klucz SHA : $SHA$fc4a06408aa9c60e$c4bac5d0...
w whirlpool juz tego nie ma : df850941a9cc6d61306fd32d37ca7ea5280d30f02...

EDIT:
z ciekawości usunąłem ta linijkę i przy kodowaniu SHA256 można się było normalnie zalogować bez niej lecz po zmianie w tych 2 miejscach na whirlpool na nowe konto gdzie wcześniej nic się nie działo, wyskakuje komunikat ze jest niepoprawna nazwa użytkownika lub hasło

w tym linku: https://github.com/lycano/xAuth/wiki/Password-Hashing nie ma nic ciekawego ?
nie znam się na tym za bardzo ale myślę ze jest tam wyjaśnione ( przynajmniej częściowo) jak to napisać bo to jest strona tego pluginu który to zapisuje do bazy danych

Ten post edytował dudekkris3 10.01.2013, 01:44:43
Go to the top of the page
+Quote Post
thek
post 10.01.2013, 08:59:01
Post #6





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




To co napisałeś, to nie jest kod w SHA smile.gif To string złożony z 3 elementów, który zresztą w kodzie potem rozbijasz na elementy tablicy, dzieląc w chwili znalezienia $ smile.gif Skoro po rozbiciu masz od razu hash (a tak sądzę patrzac na przykładowe dane), to zapewne musisz jedynie zrobić porównanie tego hasha z operacją hashowania nadesłanego z formularza hasła. W takim wypadku nie są już potrzebne dodatkowe sprawdzenia i cudowanie.


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
dudekkris3
post 10.01.2013, 11:12:46
Post #7





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 9.01.2013

Ostrzeżenie: (0%)
-----


Niestety nie bardzo znam sie na tego typu kodzie wiec sam tego nie napisze ....

Trudne by to było do napisania dla kogoś kto to zna ? Nie ukrywam ze jest mi to potrzebne bo przeniesienie z bazy danych 10k kont i zmiana ich hasel z whirlpoolea na tamto nie wchodzi w grę ...
Go to the top of the page
+Quote Post
thek
post 10.01.2013, 12:35:39
Post #8





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




Z tego co widziałem, to plugin pozwalał na zmianę kodowania... Chyba switch tam był z odpowiednim parametrem, ale nie zgłębiałem się gdzie konkretnie ta zmiana ma nastapić.


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post
dudekkris3
post 10.01.2013, 18:52:10
Post #9





Grupa: Zarejestrowani
Postów: 5
Pomógł: 0
Dołączył: 9.01.2013

Ostrzeżenie: (0%)
-----


thek,
Napisałem ci wiadomość na PW jak byś mógł odczytać będę wdzięczny wink.gif
Go to the top of the page
+Quote Post
thek
post 10.01.2013, 22:02:27
Post #10





Grupa: Moderatorzy
Postów: 4 362
Pomógł: 714
Dołączył: 12.02.2009
Skąd: Jak się położę tak leżę :D




Czytałem, ale to że pomagałem komuś nie od razu sprawia, że jestem odpowiedzialny za doprowadzenie pomocy do końca. Nieważne czy w formie zlecenia lub wolontariatu. Każdy poświęca na pomoc tyle czasu ile uważa za właściwe. Ja staram się pomóc wielu osobom w jakiś sposób bardziej radą. Czasem jedynie dając rozwiązanie bliższe gotowcowi, gdy widzę, że przyda się większej liczbie osób. Poza tym mam także życie prywatne, na które także czas wydzielam. No i kiedyś muszę odpoczywać także. Nie sądzę byś tak jak ja sypiał po 5 godzin dziennie smile.gif


--------------------
Najpierw był manual... Jeśli tam nie zawarto słów mądrości to zapytaj wszechwiedzącego Google zadając mu własciwe pytania. A jeśli i on milczy to Twój problem nie istnieje :D
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 29.03.2024 - 00:10