[HaBo]

blobbo · 07.09.06, 14:45

Hi!
Normalerweise wird ja in einem Boardcookie, wenn man angemeldet bleiben will, immer die Userid und das Md5 verschlüsselte Passwort gespeichert.
Beim Phpbb2 ist es allerdings nur ein Cookie und der ist auch etwas unübersichtlich.
Ich hab beim Googlen nur was mit serialize und unserialize gefunden allerdings hat das nich wirlkich etwas verändert.
Also, weiss einer von euch wie das Phpbb2 den Cookie speichert?

[Edit]
Ok ich hab übersehn, dass der ganze % Quatsch durch Asciicode kommt.
Danach macht es schon viel mehr Sinn :)
Aber es wird sich sicher noch eine Frage auftun. Das ist sehr interessant finde ich.

c1b · 07.09.06, 15:51

In einem phpBB wird einerseits eine Session ID gespeichert (zur Benutzeridentifizierung) und (wenn man autologin aktiviert hat) ein Verweiss auf ein einen Datenbank-Datensatz

Anzeige

- Anzeige -

blobbo · 07.09.06, 16:25

Ja und genau um das 2te geht es mir..

Hier ist was interessantes darüber:
http://www.security-project.org/proj...read.php?t=870

Wenn man es aufdröselt ist es in dieser Forum:

a:2:
{
s:11:"autologinid";
s:32:"[32 Stelliges pw]";
s:6:"userid";
s:1:"[ID des Users]"; // zb 2 für den Admin
}

Was ich nun komisch finde ist, dass das Passwort nicht der Normale md5 Hash ist.

Der Hash sieht ungefähr so aus
98c69c9f93b58c7ee5ccdff937bdf744

Und der gespeichert wert so
920788668450034d507b2f8.84711564

Weiss jemand wo da der Unterschied besteht?

[Edit]

Ok ich hab mal nen Test gemacht:

a:2:
{
s:11:"autologinid";
s:32:"d320cfb200428edee30f44a7ff3928e9";
s:6:"userid";
s:1:"4";
}

Der User heisst test und das Passwort ist huhu .

Der Passworthash ist:
f3c2cefc1f3b082a56f52902484ca511

Ich hab schon probiert den aus dem Phpbb2 zu cracken hab dann aber bei 5 Stellen aufgehört.
Also werden die Zeichen schonmal nich im Alphabet verschoben.

Hat irgendwer ne Ahung?
Danke schonmal!

--------------

Ok nochmal..
Der gespeicherte Hash im Cookie ist sogar immer anders.
Doch selbst wenn ich alle Cookies lösche und diesen dann, mit einem von den verschiedenen generierten Hashs, neu anlege bin ich wieder eingeloggt.
Und auch wenn ich den Cookie dalasse und nur meine Sessionid lösche und dann wieder auf die Seite gehe bleibe ich eingeloggt.
Es liegt also nicht an der Sessionid. Aber gesaltet ist das ja meiner Meinung nach auch nicht!?
Also was passiert da? ^^

Anzeige

- Anzeige -

07.09.06, 14:45	#1 (permalink)
blobbo Registriert seit: 12.04.06 Likes: 0	Cookie bei Phpbb2!? Anzeige Hi! Normalerweise wird ja in einem Boardcookie, wenn man angemeldet bleiben will, immer die Userid und das Md5 verschlüsselte Passwort gespeichert. Beim Phpbb2 ist es allerdings nur ein Cookie und der ist auch etwas unübersichtlich. Ich hab beim Googlen nur was mit serialize und unserialize gefunden allerdings hat das nich wirlkich etwas verändert. Also, weiss einer von euch wie das Phpbb2 den Cookie speichert? [Edit] Ok ich hab übersehn, dass der ganze % Quatsch durch Asciicode kommt. Danach macht es schon viel mehr Sinn :) Aber es wird sich sicher noch eine Frage auftun. Das ist sehr interessant finde ich.

Themen-Optionen
Druckbare Version zeigen Jemanden per E-Mail auf dieses Thema hinweisen
Ansicht
Linear-Darstellung Zur Hybrid-Darstellung wechseln Zur Baum-Darstellung wechseln

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
PHPBB2 macht Probleme	Executor	(Web-) Design und webbasierte Sprachen	12	23.02.09 20:14
Wget - Cookie übergeben (--load-cookie)	CentralWay	Linux/UNIX	2	07.04.08 13:56
phpBB2 mit Pam	Woosh	Network · LAN, WAN, Firewalls	2	21.11.07 12:25
phpBB2 - SQL Error : 145 Table	olli	(Web-) Design und webbasierte Sprachen	5	05.02.07 16:53
Passwort im phpBB2 Forum	Hirany	(In)security allgemein	13	10.05.06 14:45

07.09.06, 15:51	#2 (permalink)
c1b Registriert seit: 27.07.06 Likes: 0	In einem phpBB wird einerseits eine Session ID gespeichert (zur Benutzeridentifizierung) und (wenn man autologin aktiviert hat) ein Verweiss auf ein einen Datenbank-Datensatz

07.09.06, 16:25	#3 (permalink)
blobbo Themenstarter Registriert seit: 12.04.06 Likes: 0	Ja und genau um das 2te geht es mir.. Hier ist was interessantes darüber: http://www.security-project.org/proj...read.php?t=870 Wenn man es aufdröselt ist es in dieser Forum: a:2: { s:11:"autologinid"; s:32:"[32 Stelliges pw]"; s:6:"userid"; s:1:"[ID des Users]"; // zb 2 für den Admin } Was ich nun komisch finde ist, dass das Passwort nicht der Normale md5 Hash ist. Der Hash sieht ungefähr so aus 98c69c9f93b58c7ee5ccdff937bdf744 Und der gespeichert wert so 920788668450034d507b2f8.84711564 Weiss jemand wo da der Unterschied besteht? [Edit] Ok ich hab mal nen Test gemacht: a:2: { s:11:"autologinid"; s:32:"d320cfb200428edee30f44a7ff3928e9"; s:6:"userid"; s:1:"4"; } Der User heisst test und das Passwort ist huhu . Der Passworthash ist: f3c2cefc1f3b082a56f52902484ca511 Ich hab schon probiert den aus dem Phpbb2 zu cracken hab dann aber bei 5 Stellen aufgehört. Also werden die Zeichen schonmal nich im Alphabet verschoben. Hat irgendwer ne Ahung? Danke schonmal! -------------- Ok nochmal.. Der gespeicherte Hash im Cookie ist sogar immer anders. Doch selbst wenn ich alle Cookies lösche und diesen dann, mit einem von den verschiedenen generierten Hashs, neu anlege bin ich wieder eingeloggt. Und auch wenn ich den Cookie dalasse und nur meine Sessionid lösche und dann wieder auf die Seite gehe bleibe ich eingeloggt. Es liegt also nicht an der Sessionid. Aber gesaltet ist das ja meiner Meinung nach auch nicht!? Also was passiert da? ^^

[HaBo]

Cookie bei Phpbb2!?