mot de passe admin oublié...

philogmphilogm Member
dans Entraide
Bonjour,

Me voici bien ennuyé...
J'ai oublié le mot de passe administration de mon PluXml...
J'ai retrouvé dans le fichier "users.xml" le login, mais le mot de passe est crypté (ce qui est généralement une bonne chose, mais là, ça m'embête) :-))

Comment faire, donc, pour récupérer ce mot de passe ?

merci à vous !

Réponses

  • zakar!zakar! Member
    juin 2012 modifié
    Remplace le noeud password et salt par celui-ci: 
    <password><![CDATA[b7c35685c68018373ae45e4cfb93184d4ca64710]]></password>
		<salt><![CDATA[9DmpVNISNR]]></salt>
    Ce qui te fera le mot de passe: admin :D à remplacer par la suite par un mot de passe plus complexe et note le quelque part !
    Edite: faut aussi le salt comme tu le notifie...
  • philogmphilogm Member
    Merci pour ta réponse...

    Bon, ça ne marche pas...

    j'avais déjà un peu essayé en mettant un nouveau mot de passe + cryptage md5, mais non...

    A quoi sert le noeud "salt" juste en-dessous de celui du mot de passe ? Peut-être que ça vient de là...

    Merci beaucoup. Promis, je noterai le mot de passe... ;)
  • StéphaneStéphane Member, Former PluXml Project Manager
    Bonjour philogm
    Refait une installation en locale dans un coin et recupere le contenu des balises password et salt du fichier parametres.xml pour le copier dans le meme fichier de ton site.

    Consultant PluXml

    Ancien responsable du projet (2010 à 2018)

  • philogmphilogm Member
    En reprenant l'idée de Stéphane, et sachant que j'avais un 2ème rédacteur pour le site - avec beaucoup moins de droits-, dont je me rappelais la mdp :)), j'ai pris ses password et salt pour les coller à la place de ceux de l'administrateur, et... ça marche !

    ;)

    Merci beaucoup à zakar! et Stéphane !
  • websyyswebsyys Member
    Bonjour, suite à un oubli de mot de passe, je me suis intéressé à ce sujet. Le wiki est assez explicite pour la récupération du mot de passe, et l'astuce de philogm est pas mal non plus. Mais je me demande à quoi sert le salt ? Est-il utilisé uniquement pour le fichier /core/admin/auth.php ?
    Le salt est le cryptage sha1 du md5 ?
  • websyyswebsyys Member
    novembre 2013 modifié 
    // install.php
	$salt = plxUtils::charAleatoire(10);

	$xml .= "\t\t".'<password><![CDATA['.sha1($salt.md5(trim($content['pwd']))).']]></password>'."\n";
	$xml .= "\t\t".'<salt><![CDATA['.$salt.']]></salt>'."\n";

    Quelqu'un peut m'expliquer ce code ?
    Le salt est une chaine aléatoire(10) ou bien du sha1/md5 ?
    password = sha1(salt + md5($content)) ?

    Edit: ok, résolu ;)
  • FrédéricFrédéric Member
    novembre 2013 modifié
    Bonsoir websyys,

    Le Salt (grain de sel) et en fait une chaine de 10 caractères a qui on lui applique le mot de passe crypter en md5.
    Le tout et crypter en sha1.

    L'intérêt du salt et de passer a travers les bases de donnée en ligne que beaucoup d'hackers utilisent.

    Donc pour résumer ta demande on fait un Sha1{Salt + Md5 => Mot de passe}

    Donc un gros plus pour la sécurité de son mot de passe ;)
  • websyyswebsyys Member
    Salut Frédéric, eh en fait c'est plutot :
    password = sha1(salt + md5(le mot de passe))

    :D

    http://forum.pluxml.org/viewtopic.php?id=4334
  • FrédéricFrédéric Member
    Je viens d'édité oui ;)
  • websyyswebsyys Member
    On pourrait mettre faire comme ça :
    password = rot13(sha1(salt + md5(le mot de passe)))

    ]:D
  • StéphaneStéphane Member, Former PluXml Project Manager
    Pour info. au début de PluXml, le mot de passe était uniquement encodé en md5.
    Aujourd'hui md5 n'est pas suffisant car il peut être facilement cracké.
    On est donc passé à un encodage sha1 + salt sur 10 caractères.
    Si md5 est encore présent dans la formule de codage, c'était pour garder la compatibilité avec les anciens cryptage des mots de passe lors de la mise à jour de la nouvelle version de PluXml. Le passage d'une formule à une autre a été transparente pour les utilisateurs. Comme les mots de passe ne sont pas stockés en clair dans PluXml, il était impossible de passer en sha1 de façon automatique par le script de mise à jour. L'astuce a donc été de garder le md5.

    Consultant PluXml

    Ancien responsable du projet (2010 à 2018)

  • websyyswebsyys Member
    Merci Stéphane.
    J'avais crée un sujet mais je l'ai effacé, autant continuer sur ce post :

    J'ai crée un petit script qui génére les infos pour récupérer un nouvel accès admin, ce qui évite d'avoir à installer un autre pluxml.
    Est-ce qu'on peut inclure du code php dans le wiki pour mettre ce formulaire ?
  • StéphaneStéphane Member, Former PluXml Project Manager
    websyys a écrit:
    Est-ce qu'on peut inclure du code php dans le wiki pour mettre ce formulaire ?

    Non ce n'est pas possible pour des raisons de sécurité.

    Consultant PluXml

    Ancien responsable du projet (2010 à 2018)

  • websyyswebsyys Member
    Ok, je me suis permis de modifier la page du wiki en question ;)
  • StéphaneStéphane Member, Former PluXml Project Manager
    Super. Tu as trés bien fait. Merci pour cette contribution et de la partager

    Consultant PluXml

    Ancien responsable du projet (2010 à 2018)

  • HarukaHaruka PluXml Project Manager
    Excellent ! Merci Websyys.
  • websyyswebsyys Member
    Oui mais j'ai remarqué un truc:
    - il faut retenir son mot de passe
    - copier le password
    - remplacer le password dans le fichier users
    - re-afficher la page du blog
    - copier le salt
    - remplacer le salt dans le fichier users
    - et se rappeler de son mot de passe :8

    Alors j'ai modifié un peu le script pour afficher directement le code à remplacer.
    Comme ca on peut se rappeler de son mot de passe :D
  • FrédéricFrédéric Member
    @websyys,

    Très bonne idée de pouvoir re-généré son mot de passe, faudrait voir par contre avec Stéphane pour en faire une page dédié directement sur le site officiel, ou l'intégrer à PluXml pour éviter toute ambigüité O:)
  • danielsandanielsan Member
    et y'a pas moyen de faire l'inverse ?
    genre copier le password et le salt pour retrouver le mot de passe en clair ..?

    perso vu la fréquence avec lesquelles je vais sur mes sites,
    je ne me rappelle d'aucun ]:D
    et alors ceux des clients, n'en parlons pas ...
  • websyyswebsyys Member
    novembre 2013 modifié
    @ Frédéric : si vraiment il y ambigüité, il y a la méthode numéro 2. Si Stéphane souhaite le code source, il peut me joindre par mail.
    @ danielsan : ça revient au même, tu crois pas ? puis pour la méthode inverse, c'est pas une équation lol, c'est du sha1+md5+salt, c'est à dire indéchiffrable ]:D
  • StéphaneStéphane Member, Former PluXml Project Manager
    danielsan a écrit:
    et y'a pas moyen de faire l'inverse ?
    genre copier le password et le salt pour retrouver le mot de passe en clair ..?

    perso vu la fréquence avec lesquelles je vais sur mes sites,
    je ne me rappelle d'aucun ]:D
    et alors ceux des clients, n'en parlons pas ...

    Non, on ne peut pas faire du reverse, et heureusement sinon bonjour la sécurité... :)

    Consultant PluXml

    Ancien responsable du projet (2010 à 2018)

Connectez-vous ou Inscrivez-vous pour répondre.