PHPBB 3 - Admin verloren, Admin unbekannt

[Talk19zehn]

Hallo,
funktioniert bei phpBB tatsächlich, habe ich selbst schon in einem Testforum so gemacht, weil ich das Passwort vom Admin vergessen hatte.

Das Passwort ist natürlich verschlüsselt. Jedoch das verschlüsselte Passwort (z.B. von einem User, dessen Passwort man kennt, bzw. den man schnell mal anlegt) kann man natürlich kopieren und beim Admin einfügen. Innerhalb eines Forum werden alle Passwörter scheinbar gleich verschlüsselt. Besser wären natürlich individuell "gesalzene" (salted) Passwörter, mit denen dieses Vorgehen nicht möglich wäre. Zumindest war das bei 3.0.x immer so gewesen, ich wüsste nicht, dass sie das geändert hätten.

Wäre ja ein echter Knaller (boing) ... oder was verstand ich gerade nicht wirklich ...

Hilfe, Klärung erbeten. Dankeschön.

[Joyce&Luna]

Damit wären meine Datenbank Backups ziehmlich ungeschützt wenn das wirklich geht o.O

Da du selten mal was richtig liest, solltest du es dir dringend es angewöhnen die Texte richtig zu lesen, bevor du irgend etwas dazu schreibst.
Ich zitiere noch mal für dich und markiere den Teil.

Es geht sogar noch einfacher, man kopiert sein Passwort aus der DB und setzt es dort ein, dann kann man sich normal einloggen mit dem Admin. Habe das gerade getestet.

@ Lehrling, genau so ist es.

@Talk19Zehn so lange man sein eigenes kennt, ist es wohl kein Problem


Anke

[gn#36]

Besser wären natürlich individuell "gesalzene" (salted) Passwörter, mit denen dieses Vorgehen nicht möglich wäre. Zumindest war das bei 3.0.x immer so gewesen, ich wüsste nicht, dass sie das geändert hätten.

Das stimmt zwar, aber den individuellen Salt müsste man ja auch irgendwo speichern und den könnte man mit vollem DB Zugriff einfach mitkopieren, das würde vor so einem Angriff also nicht schützen. Die phpBB Passwörter sind übrigens "gesaltet", allerdings alle mit dem selben Salz. Allerdings verwendet nicht jedes Forum einen identischen String, somit würde eine Passwort-Entschlüsselungstabelle, die sich mit viel Aufwand natürlich immer berechnen lässt, immer nur für ein Board gelten.

Da aber, wenn ich RycoDePsyco richtig verstehe, kein User für ihn existiert ist in diesem Fall die von Juppi vorgeschlagene Methode in meinen Augen die einfachste: E-Mail Adresse in der DB austauschen, neues Passwort zuschicken lassen und fertig. Den Admin findet man über die DB recht einfach, indem man nach user_type = 3 sucht. Im Grunde tut es aber jedes beliebige Konto im Forum, denn die Admin-Rechte kann man ja recht einfach in der DB hinzufügen.

[Talk19zehn]

Hi gn#36, ja richtig: Klar, schützen würde das im Falle eines Angriffs, wie man es auch nennen mag, nicht (grundsätzlich).

BTW:

Die phpBB Passwörter sind übrigens "gesaltet", allerdings alle mit dem selben Salz.

Genau das meinte ich:

Innerhalb eines Forum werden alle Passwörter scheinbar gleich verschlüsselt.

Okay, - Danke dir und grüße


Edit: Offen bleibt für mich die Tatsache, inwieweit ich berechtigt bin / sein soll, kann, darf den Admin-Account im Gründerstatus zu übernehmen. Möglich ist´s, dies ist nicht die Frage. Heikel finde ich es (persönlich) alle Male. Nun denn, rette sich wer kann ... oder so ...

Grüße

[gn#36]

Edit: Offen bleibt für mich die Tatsache, inwieweit ich berechtigt bin / sein soll, kann, darf den Admin-Account im Gründerstatus zu übernehmen. Möglich ist´s, dies ist nicht die Frage. Heikel finde ich es (persönlich) alle Male. Nun denn, rette sich wer kann ... oder so

Das kann und will ich nicht beurteilen. Es kann Gründe geben warum die Übernahme des Forums auf diese Weise ansich gerechtfertigt sein kann, wenn es denn anders nicht geht, genau wie man natürlich mit dem selben Vorgang auch eine "feindliche Übernahme" durchführen kann. Es ist besser, wenn diese Notwendigkeit auf andere Weise vorher vermieden wird (z.B. indem man nicht einen, sondern zwei Admins hat). Weil eine Forenübernahme auf so einfache Weise möglich ist, sollte man nie leichtfertig irgendwem Datenbank- oder Dateizugriff auf dem Server geben, genauso wie man nie leichtfertig Adminrechte verteilen sollte.

[Talk19zehn]

Richtig und die Frage (Spekulation) ist, wer der rechtliche Inhaber vom Forum oder zumindest von Domain und Webspace ist. Das muss ja nicht immer gleichlautend der (bisherige) Admin sein. Und wenn jemand Zugriff auf die Datenbank hat, dann ist er entweder äußerst vertrauenswürdig oder sogar Besitzer der Datenbank (und damit meist auch von Webspace, Domain etc.). Ein fehlendes Impressum ist u.U. eine ganz andere Sache. Aber wenn derjenige, der übernimmt, bereits Zugriff auf die Datenbank hat, sollte er den Admin zumindest persönlich mit Namen kennen bzw. in dem Falle zumindest gekannt haben, evtl. gar Vollmachten/Untervollmachten besitzen.
Vorgänge rechtfertigen können, bevor aus einer rechtlichen Perspektive etwas nach hinten schießt. Schlussendlich mag ich das und etwaige Gründe für ein derartiges Vorgehen ebenso gar nicht beurteilen. Negativ und feindlich sind aus meiner Sicht seine Gründe daher erst einmal, wie vorgetragen, nicht. Das wollte ich auch keinesfalls in der Form verstanden wissen. Ich bin augenscheinlich zu sensibel für diese Welten, wenn ich das Thema im Nachhinein betrachte, verinnerliche ...

Mein Tenor/Aufmerksamkeit - stimmt: Leichtfertig sollte man nie, keinesfalls mit Berechtigungen / Zugriffen umgehen.

Grüße

[DrWolf]

Hallo,
funktioniert bei phpBB tatsächlich, habe ich selbst schon in einem Testforum so gemacht, weil ich das Passwort vom Admin vergessen hatte.

Das Passwort ist natürlich verschlüsselt. Jedoch das verschlüsselte Passwort (z.B. von einem User, dessen Passwort man kennt, bzw. den man schnell mal anlegt) kann man natürlich kopieren und beim Admin einfügen. Innerhalb eines Forum werden alle Passwörter scheinbar gleich verschlüsselt. Besser wären natürlich individuell "gesalzene" (salted) Passwörter, mit denen dieses Vorgehen nicht möglich wäre. Zumindest war das bei 3.0.x immer so gewesen, ich wüsste nicht, dass sie das geändert hätten.

Wäre ja ein echter Knaller (boing) ... oder was verstand ich gerade nicht wirklich ...

Hilfe, Klärung erbeten. Dankeschön.

ja, genau den MD5 hash.

[benjaminb4]

Hallo,

ich finde den Pfad zur phpbb_users nicht und weiß nicht, in welcher Datei ich das PW umkopieren kann.

Kann mir jemand helfen?

Danke,
Benjamin

[Joyce&Luna]

Du muss in deiner Datenbank gehen, mit phpMyAdmin dort in die phpbb_user Tabelle gehen, den Admin finden und am besten ihm nur eine aktuelle EMail Adresse geben.
Dann kannst du dir per EMail ein neues Passwort schicken lassen.
Du kannst nicht irgend ein Passwort dort eingeben, das funktioniert nicht.

Anke