Passwort im phpBB2 Forum

H

Hirany

0
Hallo erstmal,

Ich möchte gerne einmal wissen, wo die Passwörter der einzelnen User in einem phpBB2 Forum gespeichert sind und wie man sie dann herausbekommen kann.

In dem Nuamek Forum z.B. kann man die Passwörter sogar schon im ACP sehen...
 
Willkommen erst einmal.

1. Die Passwörter werden in einer Datenbank gespeichert.
2. Die wirst du nicht herausbekommen. Du brauchst Zugriff auf die Datenbank und musst das Passwort dann auch noch entschlüsseln.

Also falls du vorhattest einen Nick in irgendeinem Forum zu cracken lass es. Es wird dir nicht gelingen.
 
Ich bin da nur drauf aufmerksam geworden, da ich mal ein Nuamek Forum hatte und man dass Passwort direkt sehen konnte ^^


PS: Ich bin Admin des phpBB2 Forums, von dem die Rede ist, also ich hätte Zugriff auf die Datenbanken...
 
Passwörter sind (sollten) verschlüsselt in der Datenbank gespeichert sein, im wbb2 sind zb 2 hashes vom Passwort drinn, md5 (verbreitet) und ich glaube sH1 (fällt mir jezt gerade nicht genau ein, mal nachschauen)
aber aus dem Hash wirst du so schnell nicht auf das "klare" Passwort kommen, weil eine "Decodierung" ewig dauert.
 
Ein aktuelles phpbb Forum ist schon eine sichere Sache, jedoch tauchen immer wieder neue Sicherheitslücken auf, aber das geht jeder Applikation so.
Vorallen sollte man sich nicht zu sehr auf das Forum konzentrieren, sondern auch vielmehr auf den Rechner wo es gespeichert ist.
Viele Wege führen nach Rom. :D
 
Also beim WBB Lite gibt es die Möglichkeit einem User das PW zu ändern gegen eines wo du willst...
Aber wie du das Alte rausfindest...?
 
Wie schon erwähnt wurde, die PWD`s befinden sich in der Datenbank in der Tabelle die du phpBB angedacht hast, diese sind allerdings md5 verschlüsselt so das es schwierig/langwierig wird diese zu entschlüsseln. Vor allem ab einer Passwortlänge von 8 Zeichen unter der Verwendung von Alphanumerischen und Sonderzeichen, wird das ganze recht Zeitaufwendig.

Erschreckend ist allerdings wie schnell md5crack nen PWD entschlüsselt welches zb. aus 4 Buchstaben und einer Zahl besteht....deshalb "zwinge" ich auf meinem Board alle user dazu ein PWD mit mind. 8Zeichen zu verwenden...

Ich lasse gerade mal einige Brutes laufen bsp.:
e3d704f3542b44a621ebed70dc0efe13
Code: 
Caught Ctrl-c ... Breaking search ...
TlqlO <--<< Last Bruteforce String 
Collision(s) tested : 608755849 in 349.906  sec(s)
Average : 1744286 tests/sec.
Generating resume file md5crack.res at current directory
md5crack.res file exist in the current directory!
Resuming last session..... 
( hash: e3d704f3542b44a621ebed70dc0efe13 last try: TlqlO)
Collision found ! => test5
Collision(s) tested : 253111565 in 131.125  sec(s)
Average : 1932149 tests/sec.
 
original von Sven:
aber aus dem Hash wirst du so schnell nicht auf das "klare" Passwort kommen, weil eine "Decodierung" ewig dauert.
Zum Vergrößern anklicken....

also soviel ich weiss ist das mit rainbowcrack auch nicht mehr alle Welt (stand sogar mal in nem anderen Topic). Vorausgesetzt man hat eine anständige table (was das grössere Problem ist)

Was mich aber interessieren würde....ich hab ja auch ein phpBB Forum wo ich der Admin bin...gehostet ist alles bei Funpic. Dort kann ich ja doch mit dem phpmyadmin auf die Datenbank zugreifen...oder? Dort müssten doch die Hashes irgendwo steheh?
Wär cool wenn jemand näheres weiss....
 
thx! Solche Antworten liebe ich....
...jetzt hab ich die Sicherheit das ich nicht umsonst kuck, hab mir das nämlich nur mal so flüchtig angekuckt ;-)

Noch ne kleine Frage: Man muss doch nicht als root angemeldet sein (bei phpmyadmin), oder? Weil irgendwie geht das bei funpic nicht...oder ich verraffs!
 
irgendwie riecht die geschichte nach:

"ich habe einen freund gesagt er soll sich mal bei mir auf meinem forum registrieren in der hoffnung das er sein standardpasswort nutzt damit ich mich dann bei ihm in seinen e-mail account einloggen kann um herauszufinden ob er sack als e-mails an meine freundin schreibt"

;)

ps: hier wurde extra auf jeglichen satzbau verzichtet ... liest sich so einfach schöner *glaub*
 
Um antworten zu können musst du eingeloggt sein.
Zurück
Oben