Il dipendente

I casi sono due: o siete come il 99% delle persone che usano una password per tutto, dal cancello automatico a gmail oppure siete come me, che ha la stessa password per tutto ma ogni tanto, in uno slancio di simpatia, decide di scegliere una password un pò meno stupda del solito. Risultato: la password verrà inesorabilmente dimenticata.

Un paio di giorni fa ero davanti ad una situazione simile. Avevo installato vBulletin e configurato tutto, fatto l’importazione dei contenuti e… dimenticato la password di admin appena avevo finito.

Quando qualcun altro voleva iniziare a lavorare sul forum sono iniziati i problemi. Per fortuna resettare una password non è una cosa difficile se si ha accesso al database.

Come vBulletin memorizza le password

Spulciando un pò nella tabella user di vBulletin possiamo vedere che la colonna password non contiene la password in chiaro (troppo facile se no…) ma una cosa del tipo edf7629646355502c7dbd4d1cc7454b8. vBulletin infatti calcola un hash md5 della password stessa, concatena il risultato con un salt (indovinate dove è contenuto? Esatto, nella colonna salt) e calcola un ulteriore hash md5 della stringa risultante. Se la password è “password” e il salt è “XvT”:

md5(md5('password').'XvT')

o se preferite in bash (io uso il mac ma su linux il comando per calcolare l’hash è md5sum se non sbaglio )

neuromante:~ orso$ echo -n password | md5

5f4dcc3b5aa765d61d8327deb882cf99

neuromante:~ orso$ echo -n 5f4dcc3b5aa765d61d8327deb882cf99XvT | md5

a754fb443a1a435efb6aa361f57f0120

A questo punto vi basta inserire il risultato nel campo password ed il gioco è fatto

Tags: md5, vBulletin

This entry was posted on Wednesday, April 29th, 2009 at 12:38 am and is filed under Bash, Web Dev. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.