Versleuteld wachtwoord achterhalen in database
Ik help iemand die zijn wachtwoord kwijt is van een marktplaats script. Het script is gemaakt door een niet meer bestaand bedrijf (Isosoft/Mexign).
Heb beschikking over de database en vraag me af hoe ik er achter kom welke soort codering gebruikt is. En nog belangrijker, of op een bepaalde manier het wachtwoord ontcijfert kan worden.
In de database zie ik onder meer dit staan:
Code (php)
1
2
3
4
5
6
7
8
9
10
11
12
13
14
2
3
4
5
6
7
8
9
10
11
12
13
14
CREATE TABLE `admin_act` (
`admin_id` int(9) NOT NULL AUTO_INCREMENT,
`email` varchar(100) NOT NULL DEFAULT '',
`wachtwoord` varchar(70) NOT NULL DEFAULT '',
`emailmd` varchar(100) NOT NULL DEFAULT '',
`wachtwoordmd` varchar(100) NOT NULL DEFAULT '',
`typeofadmin` tinyint(3) NOT NULL DEFAULT 0,
`lidsinds` int(14) NOT NULL DEFAULT 0,
`laatsteinlog` int(14) NOT NULL DEFAULT 0,
`xingelogd` int(11) NOT NULL DEFAULT 0,
`valid` varchar(20) NOT NULL DEFAULT '',
PRIMARY KEY (`admin_id`),
KEY `email` (`email`)
) ENGINE=MyISAM AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;
`admin_id` int(9) NOT NULL AUTO_INCREMENT,
`email` varchar(100) NOT NULL DEFAULT '',
`wachtwoord` varchar(70) NOT NULL DEFAULT '',
`emailmd` varchar(100) NOT NULL DEFAULT '',
`wachtwoordmd` varchar(100) NOT NULL DEFAULT '',
`typeofadmin` tinyint(3) NOT NULL DEFAULT 0,
`lidsinds` int(14) NOT NULL DEFAULT 0,
`laatsteinlog` int(14) NOT NULL DEFAULT 0,
`xingelogd` int(11) NOT NULL DEFAULT 0,
`valid` varchar(20) NOT NULL DEFAULT '',
PRIMARY KEY (`admin_id`),
KEY `email` (`email`)
) ENGINE=MyISAM AUTO_INCREMENT=4 DEFAULT CHARSET=utf8;
En daarna (ivm privacy domein vervangen):
Code (php)
1
INSERT INTO `admin_act` VALUES (2,'[email protected]','','11c17383115cf8************6442f0df8ffda90e3bbb6b08e4b7cce548be63','5b6c5ab2d30ad8232bfe13b0dd21e************26dbb9de44f315607c813b',1,1536940475,0,0,'1');
Guido
Edit:
Hash gecencureerd.
Gewijzigd op 04/10/2021 18:06:53 door - Ariën -
Reset het password!
Voila! profit.
En nee, aan hacken en bruteforcen doen we niet mee. Dus ik laat dit topic over voor een constructieve discussie. Om deze reden heb ik de hash even aangepast.
Gewijzigd op 04/10/2021 18:06:11 door - Ariën -
Wat is de meest voorkomende manier, MD5? Die kom ik veel tegen in ieder geval, maar heb er zelf nul ervaring mee.
Guido
Kan je niet bij het aanmeldproces in de source kijken wat er gebruikt wordt?
Ja, ik heb het inlogbestand net bekeken en kom "IsoCrypt" tegen. Dus dat zal het type versleuteling zijn.
Aanvulling:
Maar dat is een functie zie ik nu. Dit is de versleuteling:
Gewijzigd op 04/10/2021 19:03:56 door Guido -
Je weet hopelijk nu ook hoe je een nieuwe password kan aanmaken. :-)
Gewijzigd op 04/10/2021 19:07:40 door - Ariën -
Guido
Dan moet je even in de source kijken of je aan aanwijzing vindt waarom er wachtwoordmd en wachtwoord gebruikt worden.
En anders kan je ze gewoon samensmelten als de een niet gebruikt wordt.
Bedankt zover!
Guido
- heb je dat script op Marktplaats gekocht?
- wordt het aangeboden via Marktplaats?
- ... ?
Wat heb je gedaan om de mensen te benaderen die jouw het wachtwoord kunnen geven?
Overigens is in de INSERT het 3e statement voor het wachtwoord leeg, dus daar gaat iets niet helemaal goed..
Dat VARCHAR(70) veld voor het MySQL 3-byte (!) utf8 encodering, waarbij een wachtwoord wordt opgeslagen als base64, in een MyISAM-tabel met maar 3 records maakt dat ik geen hoge verwachtingen heb over het script. Het wachtwoord heeft in ieder geval geen betrekking op de database, want die kan je gewoon lezen. Dus het gaat om een code van een script dat niet in jouw bezit is, of waar je geen recht op hebt?
Het zomaar achterhalen van een wachtwoord is plegen van computervredebreuk, en is een strafbare criminele activiteit: art. 138ab WvS. Daar kan ik niet aan meewerken.
Ik had reeds doorgegeven dat het een marktplaats script is van Isosoft/Mexign. Een bedrijf die dit script over verschillende jaren af en toe te koop aanbood, maar dan weer ineens verdween. Die info kun je op het www vinden. Mogelijk is dit probleem ontstaan doordat er geen koppeling meer is met hun API, maar dat weet ik niet zeker.
Een kennis van me heeft een licentie van dit script, maar heeft de site een tijd niet gebruikt en is nu z'n wachtwoord kwijt. We hebben volledige toegang tot die site. Dus niets verkeerd aan.
Die hash is qua lengte SHA256. Maar er is dus meer aan de hand begrijp ik? Graag iets minder technisch verwoorden ;-)
Guido
https://raw.githubusercontent.com/mexign/marktplaatsscript/master/handleiding.pdf ?
Het bedrijf dat er achter zit bestaat nog steeds, je zou met hen contact op moeten nemen:
T&R Online Solutions
[email protected]
06-14567991
Oude Bredasebaan 24, 4861 NC Chaam
Dit is publieke info van SIDN, KvK, isosoft.nl en tronline.nl.
Bedoel je Het bedrijf dat er achter zit bestaat nog steeds, je zou met hen contact op moeten nemen:
T&R Online Solutions
[email protected]
06-14567991
Oude Bredasebaan 24, 4861 NC Chaam
Dit is publieke info van SIDN, KvK, isosoft.nl en tronline.nl.
We kunnen een poging wagen maar in het verleden bleek dit een onbetrouwbaar bedrijf te zijn. Van 1 op andere dag website offline, ineens een nieuwe website, weer offline, niet meer reageren op support tickets, etc. Duiken steeds weer op met andere naam. Is onze ervaring.
Wat is je bedoeling: wil je weer kunnen inloggen om het script weer te gaan gebruiken, of wil je alleen bepaalde data "redden". Anders kun je natuurlijk ook gewoon de login procedure even by-passen (maar check even wat de licentie zegt over het aanpassen van de code).
Zodra ik toegang heb tot de database via PhpMyAdmin gaat ik de huidige hash vervangen door een nieuwe. Maar als ik Ad Fundum goed begreep is dat misschien té makkelijk gedacht. Ik merk het wel.
Met een beetje pech kan je niet meteen bij de PHP code, hebben ze het script versleuteld met een tool als ionCube. Maar het loont om op de site te kijken naar .php-bestanden, misschien kan je daar iets van code vinden? Daar kunnen we hier wel wat over zeggen...
Guido - op 04/10/2021 19:39:00:
Gaan we dat doen.. via PhpMyAdmin. Maar eerst moet ik de persoon in kwestie naar de inlog van z'n database vragen. Want heb alleen de database als bestand. Wordt vervolgd ;-)
Je kan dit gewoon in de source vinden. Even zoeken in je hele codebase op die veldnaam, en kijken wat ze ermee doen. Voor de rest kan je ook gewoon via PHP je queries afschieten op de database. Vergeet uiteraard niet je WHERE clausule als je gaat UPDATE-en ;-)
Toevoeging op 04/10/2021 23:25:40:
Ad Fundum op 04/10/2021 20:26:26:
Het zomaar achterhalen van een wachtwoord is plegen van computervredebreuk, en is een strafbare criminele activiteit: art. 138ab WvS. Daar kan ik niet aan meewerken.
Vandaar mijn modbreak!
Gewijzigd op 04/10/2021 23:25:02 door - Ariën -
Of heb je de scripts ook offline beschikbaar en zit je daar in te kijken?
Ik heb momenteel toegang tot het database-bestand (gedownload op mijn pc) + de filemanager (dus het PHP-script).
Heb (nog) geen toegang tot de online database, omdat ik degene nog moet vragen naar inlog van PhpMyAdmin.
Misschien is het verstandig om eerst nogmaals een poging te doen om developer te contacten..
Guido
Gewijzigd op 05/10/2021 12:10:50 door Guido -
Sowieso wel vreemd dat dit gehashed is, want stel dat deze uitlekt, hoe pas jij die aan zonder sleutel?
Of is dit een SaaS oplossing waar je systeem op draait? En dus voor jou ook gehost wordt?
Gewijzigd op 05/10/2021 13:18:19 door - Ariën -
Code (php)
1
2
2
INSERT INTO `admin_act` (`admin_id`, `email`, `wachtwoord`, `emailmd`, `wachtwoordmd`, `typeofadmin`, `lidsinds`, `laatsteinlog`, `xingelogd`, `valid`) VALUES
(5, '[email protected]', '', '82abb82afcd895d87d3f0b0aec26aec12bd13763a578fb3b42509e9d15182939', 'f73a85a9b3c7b378a26d0929eeae34554e29d2e934739433f739545b7e5ba854', 1, 1633521063, 0, 0, '1');
(5, '[email protected]', '', '82abb82afcd895d87d3f0b0aec26aec12bd13763a578fb3b42509e9d15182939', 'f73a85a9b3c7b378a26d0929eeae34554e29d2e934739433f739545b7e5ba854', 1, 1633521063, 0, 0, '1');
Omgezet naar gewoon leesbaar is dit:
email: [email protected]
wachtwoord: dezeisvoormij
Hiermee kan je dan inloggen in je beheer gedeelte :)
Gewijzigd op 06/10/2021 13:54:34 door Ray Mond