Passwort-Probleme mit integriertem Homepage-Blog

Der_Finder · 25.02.2011

Hallo!

Ich habe mich bereit erklärt für unseren lokalen Sportverein die Betreuung ihrer Internetseite zu übernehmen. Da ihr alter Ansprechpartner nicht mehr zur Verfügung steht gibt es nun einige Probleme.

Die sehen folgendermaßen aus:
Alle Abteilungen haben u.a. ein seperates Blog mit entsprechenden Passwörtern, um ihre Nachrichten zu veröffentlichen. Als Beispiel habe ich hier das Blog für die Juniorenabteilungen . Unten rechts gibts die Möglichkeit sich für das Blog anzumelden.
Leider sind nun einige Passwörter verschwunden und es sollen neue vergeben werden. Leider habe ich keinen Administrationsbereich oder derartiges gefunden, in dem das Blog verwaltet wird. Mit den vorhandenen Zugängen kann ich mich anmelden, aber leider außer Beträge schreiben/löschen, Blog sichern/wiederherstellen/löschen nichts weiteres machen.Weiß einer von euch, ob es vielleicht bei dieser Art von Blog eine Möglichkeit gibt, neue Passwörter zu generieren oder es zurückzusetzen?

Hier mal noch die Ordnerstruktur für diesen Bereich für den Fall, dass es wichtig ist:

Ich hoffe, ihr habt den ein oder anderen Hinweis für mich.

Viele Grüße,

Ralf

Doitsu · 25.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Na ja, wie heisst den der Blog?
Ansonsten solltest du mal in deiner Datenbank schauen, da gibt's bestimmt irgendeine Tabelle.. Die Frage ist dann nur welche Verschluesselungsmechanismen benutzt wurden.

Duddle · 25.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Das scheint ein System des zuständigen Webdesigners zu sein. Alle Seiten in dessen Referenzen sind mit diesem System gebaut.

Ich würde an deiner Stelle alle .php-Dateien im Verzeichnis öffnen und durchforsten. Falls mit einer Datenbank gearbeitet wird, steht irgendwo ein mysql_connect(foo, bar, ...). Dort kannst du (falls notwendig über Rückverfolgung von Variablen) Benutzername und Passwort für die Datenbank rausfischen.

Es kommt sehr auf deine Umgebung und deine Kenntnisse an, was du dann machen kannst. Falls du auf der Maschine mit der Website ein phpMyAdmin hast, kannst du das nutzen und dir die Tabellen anschauen. Falls nicht, müsstest du es entweder installieren, oder dir anderweitig Zugriff auf die Datenbank verschaffen.

Duddle

Der_Finder · 26.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Ich werde dann heute oder morgen mir mal die php-Dateien anschauen. Vielleicht finde ich dort Hinweise. Den Namen des Blogs hatte ich auch schon mal gefunden und nachgeschaut, obs beim Hersteller Hinweise gibt. Aber soweit ich mich erinnere gabs den schon nicht mehr.
In die Datenbank habe ich gestern mal reingeschaut, aber leider auf die Schnelle (noch) nichts Brauchbares gefunden.
Wenn alle Stricke reißen, dann muss halt ein neues Blog her.

Bis später

Ralf

Der_Finder · 27.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Ich habe jetzt mal alle php-Dateien durchgeschaut. Weder habe ich irgendwelche SQL-Einträge gefunden noch habe ich einen Herstellernamen entdeckt. Sieht also alles nicht allzu gut aus.
Irgendwie mussten doch die Passwörter verteilt bzw. erstellt worden sein. In den Quelltexten wurden auch an einer Stelle auf den Administzrator (bzw. Datei) hingewiesen.
Außerdem habe ich mir die vorhandenen SQL-Datenbanken angeschaut. Die haben lediglich etwas mit "Simple Maschine" zu tun. Habe kurz mal nach gegoogelt und festgestellt, dass es sich um eine Art Forumsanmeldung (!?) handelt.
Wenns keine andere Lösung geben sollte, dann muss halt ggf. etwas Neues her.

Viele Grüße,

Ralf

Duddle · 27.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Die schickt die Formulardaten an sich selbst. Das heißt, dass in dblgadm.php irgendwo entweder $_POST["password"] oder $password benutzt wird. Wenn du diese Variable verfolgst, musst du irgendwann notgedrungen an einen Punkt gelangen, an dem sie mit etwas anderem verglichen wird. Dieses Andere ist entweder eine Variable oder ein fester String. Im ersten Fall musst du diese Variable zurückverfolgen und gelangst (wiederum notwendig) zur Quelle.

Das Passwort muss irgendwo in irgendeiner Art und Weise stehen.

Duddle

Der_Finder · 27.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Ähm...in wie weit darf ich hier denn Quellcode veröffentlichen ohne in Gefahr zu laufen, dass sich böse Buben ggf. daran "vergreifen"?
Ansonsten habe ich etwas in einer Datei gefunden, das stark nach Passwort ausschaut:
[...]
define("PASSWORD","Zahlen-Buchstaben-Kombination");
[...]
Könnten diese "Zahlen-Buchstaben-Kombination" bestehend aus 32 Zeichen vielleicht die verschlüsselten Passwörter sein?

Duddle · 27.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Dann vermute ich, dass dort der MD5-Hash steht. Das kannst du bestätigen, falls irgendwo die in meinem vorigen Post benutzte Variable $_POST["password"] o.ä. in Verbindung mit md5() auftritt, also bspw.

PHP:

<?php
if(md5($_POST["password"]) == PASSWORD)) {
 //foo
} else {
  //bar
}
?>

Es kann auch ein anderer Hash-Algorithmus benutzt wurden sein, aber MD5 wird sehr häufig in dieser Richtung gewählt. Der Natur von Hashes entsprechend kannst du die 32 Zeichen nicht zum Klartext-Passwort zurück-berechnen. Was du aber tun kannst ist die "Zahlen-Buchstaben-Kombination" im gezeigten define() durch den Hash-Wert deines neuen Passworts zu ersetzen.
Dazu benutzt du irgendeine Seite, die dir das berechnet, z.B. md5() Daten Generator | md5 Generieren und gibst dort dein neues PW ein. Den erzeugten Wert wirfst du hinten in das define() und danach kannst du dich wieder einloggen.

Duddle

Der_Finder · 28.02.2011

AW: Passwort-Probleme mit integriertem Homepage-Blog

Jup, das hat funktioniert

Sämtliche Abteilungen die ein neues Passwort benötigten haben eines bekommen.
Es gab auch keine Probleme dabei. Habe alle getestet und mich entsprechend mit den neuen Passwörtern angemeldet.
Dickes Danke an dir!
Hast´e für heute einen Menschen wieder glücklich gemacht

Ralf