1. Приветствуем Вас на неофициальном форуме технической поддержки XenForo на русском языке. XenForo - новый и перспективный форумный движок от бывших создателей vBulletin.

Где лежит лог пасс пользователей/админа?

Тема в разделе "Вопросы и ответы по XenForo Framework", создана пользователем brinums, 30 дек 2012.

Загрузка
  1. brinums

    brinums Местный

    Регистрация:
    27.12.12
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.1.3
    в каком файле лежит лог пасс админки или админа.
     
  2. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    В базе в таблице xf_user_authenticate.
     
  3. brinums

    brinums Местный

    Регистрация:
    27.12.12
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.1.3
    а там где именно ?
     
  4. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Вот прямо эта таблица - и есть данные для аутентификации.
    --- добавлено : 30 дек 2012 в 23:05 ---
    А. Еще есть таблица xf_user. Там id и ники. А в той, что я указал, только пароли. Естественно, пароли в виде хеша, а не сами пароли.
     
  5. brinums

    brinums Местный

    Регистрация:
    27.12.12
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.1.3
    1 XenForo_Authentication_Core [BLOB - 200Байт] 7dff288b26613b38a1c43c200b136a7f8c96c7e1

    и где тут пароль ?
    логины я нашел )
     
  6. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
     
  7. brinums

    brinums Местный

    Регистрация:
    27.12.12
    Сообщения:
    11
    Симпатии:
    0
    Версия XF:
    1.1.3
    как их можно расшифровать ?!
     
  8. Alex Gludo

    Alex Gludo Bazinga!

    Регистрация:
    24.01.11
    Сообщения:
    498
    Симпатии:
    322
    Версия XF:
    1.3.4
    Штатными средствами расшифровать нельзя - только если пробовать брутфорсом.
    SHA1 - это алгоритм необратимого шифрования, как и MD5.
    А вам это вообще зачем?
     
    austrumi нравится это.
  9. infis

    infis Местный Команда форума

    Регистрация:
    27.06.11
    Сообщения:
    5.525
    Симпатии:
    3.321
    Версия XF:
    1.5.9
    Хеш невозможно расшифровать. Подробную техническую информацию о том, что такое хеш и почему используют именно его вместо хранения паролей, можете найти в интернете. А в двух словах это звучит так (в применении к движку форума):
    • хеш является уникальным отпечатком пароля, но при этом не содержит сам пароль;
    • т.е. передаваемый пользователем пароль с помощью определенного алгоритма кодируется и полученный код затем сверяется с хешем, который хранится в базе;
    • таким образом хеш не является обратимым и при наличии хеша и алгоритма кодирования обратно декодировать пароль невозможно;
    • при наличии хеша и знании алгоритма кодирования есть только один способ узнать пароль - просто генерировать пароли и кодировать их, а затем сверять с имеющимся хешем.

    Основная причина хранения хешей, а не паролей - это безопасность паролей пользователей в случае взлома. Т.е. даже при наличии базы хешей получить пароли можно только с помощью перебора. Если пароль достаточно сложный, то вероятность быстро подобрать ничтожно мала (могут уйти годы на подбор, а то и десятилетия, даже при наличии мощного вычислительного центра с распределенным вычислением). Есть некоторые уязвимости в алгоритмах хеширования, что позволяет значительно сократить время перебора. Но, как правило, такие алгоритмы хеширования быстро меняются на другие. Поэтому основным методом поиска паролей по имеющимся хешам остается перебор по словарю. В интернете можно при желании найти много "угнанных" баз различных форумов и сайтов с хешами. Но это почти ничего не дает для взломщика.
    Если уж хочется взломать, то обычно обходят процедуру проверки и/или меняют в базе хеш нужного пользователя на известный (вычисленный по известному алгоритму с применением "соли") и уже с помощью известного пароля действуют. Именно таким образом обычно восстанавливают доступ к аккаунту администратора сайта/форума, когда по какой-то причине пароль был утерян. Конечно, для такого "взлома" нужно иметь доступ к базе данных.
     
    Scorpion нравится это.
  10. MiVa

    MiVa Местный

    Регистрация:
    05.02.13
    Сообщения:
    72
    Симпатии:
    42
    Ребята, подскажите плиз. Как все же изменить пароль админа.
    Я реально сильно тупанула, забыла пароль. Форум у меня установлен локально, поэтому восстановление пароля по мылу не вариант.
    По вашим рекомендациям я нашла таблицу xf_user_authenticate, нашла админа в таблице, нашла генератор SHA1 и создала новый пароль, вставила и ничего :(
    Ткните носом пожалуйста, где и как изменить пароль. Пожалуйста!
     
  11. MiVa

    MiVa Местный

    Регистрация:
    05.02.13
    Сообщения:
    72
    Симпатии:
    42
    Уже не актуально, справилась сама :)
     

Поделиться этой страницей