phpBB.de

phpBB.de - Die deutsche phpBB-Community
https://www.phpbb.de/community/

Passwort auslesen und vergleichen

https://www.phpbb.de/community/viewtopic.php?t=61370

Seite 1 von 1

Passwort auslesen und vergleichen

Verfasst: 07.08.2004 22:07
von Anuschka
Hallo,

ich möchte gerne mit Hilfe eines php-Skriptes den usernamen und das passwort von meinem clanmitgliedern aus meinem board auslesen, das vergleichen. Mein Problem besteht darin, dass das Passwort in der Datenbank verschlüsselt ist. Ich habe bereits im Netzt gestöbert und auch herausgefunden dass ich es decodieren kann, nur leider weiss ich nicht wie.
Ich habe auch bereits folgendes probiert:

Code: Alles auswählen

<?php
$con = mysql_pconnect("localhost","","");
 mysql_select_db("f4", $con);
  $sql = "SELECT * FROM phpbb_users WHERE username LIKE '%$username%'";
 $result = mysql_query($sql, $con);
 
 while ($row = mysql_fetch_object($result))
 {
 
if( md5($password) == $row['user_password'] && $row['user_active'] )
{
echo "es hat geklappt";
}

else 
{
echo "schade";
}
}
?>
habe in der login.php mal ein bissel gestöbert, aber das funktioniert leider auch nicht.

Kann mir jemand von euch weiterhelfen, auch wenn es eventuell etwas banal klingt?

LG anuschka

Verfasst: 07.08.2004 22:17
von PhilippK
Die Passwörter lassen sich nicht entschlüsseln - nur mit Brute Force knacken...
Siehe KB:md5

Gruß, Philipp

Verfasst: 07.08.2004 23:06
von Anuschka
jo thx, werd mir das gleich mal anschauen, wenn ich nicht weiterkommen sollte, meld ich mich nochmal

thx

anuschka

Verfasst: 08.08.2004 00:17
von sierra
<?php
$con = mysql_pconnect("localhost","","");
ich würde hier keine persistente verbndung aufbauen


pconnect = Verbindung zum DB Server schliest erst nach zeit x glaube 30 min. waren das..

connect = schliest verbindung sofort nach scriptende

Verfasst: 10.11.2004 00:56
von Coby
wo bekomm ich den das Programm Brute Force her?

Verfasst: 10.11.2004 01:29
von fagus
hallo,

@coby
das ist kein programm sondern bedeutet, dass man jede beliebige kombination ausprobiert, bis zufällig die kombination und das passwort übereinstimmen.
dabei kann man aber lange ausprobieren und ist sicher nicht geeignet für ein forum oder chat.
im phpbb wird das vermutlich mit der phpfunktion md5() gelöst.
der user gibt sein passwort ein dann wird es nach md5 verschlüsselt und mit dem gespeicherten verschlüsselten passwort verglichen. stimmen beide überein, dann wird der user eingeloggt.
ich denke dieser lösungsansatz könnte auch dir weiterhelfen.

Verfasst: 10.11.2004 12:22
von Blutgerinsel
fagus hat geschrieben:hallo,

@coby
das ist kein programm sondern bedeutet, dass man jede beliebige kombination ausprobiert, bis zufällig die kombination und das passwort übereinstimmen.
dabei kann man aber lange ausprobieren und ist sicher nicht geeignet für ein forum oder chat.
im phpbb wird das vermutlich mit der phpfunktion md5() gelöst.
der user gibt sein passwort ein dann wird es nach md5 verschlüsselt und mit dem gespeicherten verschlüsselten passwort verglichen. stimmen beide überein, dann wird der user eingeloggt.
ich denke dieser lösungsansatz könnte auch dir weiterhelfen.
Vorteil dabei ist der Admin als auch Leute die in die DB blicken kennen das PW nicht wozu auch?

Sofern der User das PW vergessen hat wird ein neues zugestellt da man das alte nicht sagen kann.....Einwege Hashwert

Deutlich besser ist SHA was im kommenden PHPBB zum Einsatz kommt......
Es wäre auch möglich sofern die Mcrypt Bibliothek zur Verfügung steht ala PGP einen Key zum Verschlüsseln des PW zu verwenden damit könnte das PW im Klartext übermittelt werden....Finde ich aber unnötig bis gar Sicherheitskritisch
Alle Zeiten sind UTC+02:00
Seite 1 von 1

Powered by phpBB® Forum Software © phpBB Limited

Deutsche Übersetzung durch phpBB.de