Drukowana wersja tematu

Napisany przez: piootr3 4.10.2020, 17:47:55

Dzień dobry,
mam problem. Zapomniałem hasła do administracji forum. W którym pliku trzeba poszukać?
Dziękuję za odpowiedź.

Napisany przez: Pyton_000 4.10.2020, 17:57:50

moje_tajne_haslo.php

Napisany przez: piootr3 4.10.2020, 19:32:11

Nic takiego nie ma. Na początku jest :
if(!file_exists("data_directory/conf.php")){
header("Location: install.php");
}
session_start();
include("functions/php_functions.php");
if(isset($_POST["submit_login_form"])){
if((!empty($_POST["admin_login"]))&&(!empty($_POST["admin_password"]))){
if(($gbook_admin_login==$_POST["admin_login"])&&($gbook_admin_password==crypt($_POST["admin_password"],"gb"))){
if($_POST["auto_login"]==1){
setcookie("cookie_login",$_POST["admin_login"],3600*24*365);
setcookie("cookie_password",crypt($_POST["admin_password"],"gb"),3600*24*365);
}
$_SESSION["login"] = $_POST["admin_login"];
$_SESSION["password"] = crypt($_POST["admin_password"],"gb");
$login_alert_message = "log_in_true";
} else {
$login_alert_message = "log_in_false";
}
}
}
if($_GET["m"]=="logout"){
unset($_SESSION["login"],$_SESSION["password"]);
session_destroy();
setcookie("cookie_login","");
setcookie("cookie_password","");
$login_alert_message = "log_out_true";
}
?>

Napisany przez: SmokAnalog 4.10.2020, 20:09:31

Co to za skrypt? Sprawdź skąd się bierze $gbook_admin_password. On to czyta z bazy czy jest zapisane na sztywno?

Napisany przez: Tomplus 4.10.2020, 20:35:07

Sprawdziłbym plik: data_directory/conf.php

Sądzę że tam masz hasło do administratora.

Napisany przez: piootr3 5.10.2020, 05:42:15

Niestety, tam jest tylko to:

<?php||3.0||admin||gb38t/laZMaVc||ego49@wp.pl||www.karcinogeneza.eu||install.ph||ksiêga go¶ci||Administracja||1||1||1||600||20||11||1||1||500||ASC||0||0||0||1||0||0||
0||0||0||?$$$$?||1||1||Dziêkujê za wpis.||Dziêkujê za wpis i zapraszam ponownie.||default.css||css/default||data_directory/gb_entries.txt||data_directory/smiles.txt||data_directory/guests.txt||data_directory/banned_ip.txt||data_directory/bad_words.txt||?>

Napisany przez: SmokAnalog 5.10.2020, 07:50:51

Nie tak tylko. gb38t/laZMaVc to właśnie Twoje zaszyfrowane hasło

Napisany przez: piootr3 5.10.2020, 08:38:56

Nie działa...

Napisany przez: viking 5.10.2020, 08:51:38

Ale co nie działa? Musisz sobie wygenerować nowe hasło i zapisac je w tym pliku:

[PHP] pobierz, plaintext 
http://www.php.net/echo http://www.php.net/crypt('pass', 'gb');
[PHP] pobierz, plaintext 

Napisany przez: piootr3 5.10.2020, 09:45:57

Rozumiem, że nie rozumiem...
Jak przykładowo ma to wyglądać?
Gdzie mam zapisać plik?
Logicznie rzecz biorąc, to powinno być gdzieś zapisane. W plikach cookies na serwerze, ale była migracja strony, więc nie wiem, czy na panelu administracyjnym obecnego dostawcy hostingu znajdę.

Napisany przez: SmokAnalog 5.10.2020, 10:46:14

To tak nie działa, kolego.

Bezpieczne systemy nie trzymają nigdzie hasła w postaci czystego tekstu, żeby w razie włamania lub błędu takie hasło nigdzie nie wyciekło. W najgorszym wypadku wycieknie sam hash, czyli np. ten gb38t/laZMaVc.

Masz dwa wyjścia:

1. Zmienić hasło, generując nowy hash tak, jak pisał kolega viking. To, co Ci wypisze ten skrypt musisz wtedy wstawić zamiast tego gb38t/laZMaVc w conf.php.
2. Jeśli koniecznie musi zostać to samo hasło, możesz spróbować jakimiś narzędziami do odwracania hashowania odzyskać to hasło. Innymi słowy, te narzędzia spróbują ustalić jaki tekst shashowany z solą "gb" daje właśnie gb38t/laZMaVc.

Podsumowując, łatwiej zrobić 1., ale będziesz miał nowe hasło. Nie wiem czy 2. się uda zrobić, ale możesz spróbować.

Napisany przez: piootr3 5.10.2020, 13:01:55

Rozumiem. Ale nie wiem jak to zrobić.
Jak mam wpisać aby mi wygenerowało nowe hasło?

Napisany przez: SmokAnalog 5.10.2020, 13:03:45

Po prostu zrób nowy plik PHP z tym kodem i odpal, albo na chwilę dodaj do istniejącego i potem usuń tę linijkę. Masz tylko zobaczyć jaki jest hash dla Twojego nowego hasła.

Napisany przez: viking 5.10.2020, 13:07:07

Matko: http://sandbox.onlinephpfunctions.com/code/aa545440a215ad20fcfd541667b2b480dcc6c45e Zamiast pass podstaw sobie oczywiście swoje hasło i podmień wynik w pliku.