perte du mot de passe admin |
Bienvenue invité ( Connexion | Inscription )
perte du mot de passe admin |
16 Feb 2012, 10:44
Message
#1
|
|
Ceinture blanche OSC Groupe : Membres Messages : 1 Inscrit : 16-February 12 Membre no 30604 |
j'ai os commerce 2010 et j'ai perdu mon mot de passe admin !
comment le retrouver ? merci Ce message a été modifié par aubonheurdesyeux - 16 Feb 2012, 10:45. -------------------- aubonheurdesyeux
|
|
25 Feb 2012, 10:03
Message
#2
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Bonjour, Il y a quelques mois j'ai commencé à faire un site oscommerce en interne. J'ai laissé tombé un moment, et maintenant que je veux m'y remettre je ne me souviens plus de mon mot de passe... C'est à la fenêtre de connexion de la page http://127.0.0.1:8888/catalog/admin que je bloque... je n'arrive plus à me souvenir de l'utilisateur et du mot de passe. Est-il possible de les récupérer ? merci d'avance, car je ne souhaite pas tout refaire... Vincent Une chtite recherche, çà peut servir... Citation j'ai os commerce 2010 Ce n'est pas une bonne information: Elle se trouve normalement sur la page admin outils renseignements sur le serveur Dans ton cas, c'est pas vraiment possible... Va donc voir dans le début du fichier: catalog/includes/application_top.php ce qui est mis sur la ligne : Code // define the project version define('PROJECT_VERSION', 'xxxxxxxxxxxxxxxxxxxx'); Tu le recopies daans ta signature ! Merci d'avance. Chti poupon |
|
26 Feb 2012, 19:11
Message
#3
|
|
Ceinture orange OSC Groupe : Membres Messages : 277 Inscrit : 18-October 08 Membre no 23350 |
n'y avait il pas une fichier qui permettais de recreer un nouveau mot de passe ???
Serge -------------------- Version osCommerce Online Merchant v2.2 RC1 W3C Valid FR.
fckeditor-oscommerce_v2.2.1 ( bien ) - anti_spambot_contact_us_1.2 ( bien ) - Remise par catégorie (très bien) -Virement bancaire - Paypal IPN : V2.3 ( désactivé) - Déposit ( paiement avec acompte - très bien ) - Inactiveuser_1_3 ( pas terrible ) - Catégorie box ( génial ) - Minimum_Order ( désactivé) - Minimum Amount To Make The Order ( très bien pour IE, mais bug pour autre navigateur ) discount_quant_v1 ( bien mais bug paypal et calcul sur le total du panier donc désactivé ) - lev_discountv2.4 ( bien mais bug paypal donc désactivé ) ParcelShop ( modification de la contrib kilopost - désactivé ) - TaxiPost ( bien - désactivé) Version osCommerce Online Merchant v2.3.4 FR. (16/12/2016 test online ) Virement Bancaire 2.3.4.1 du 19/12/2016 (OK) CKEditor 4.6.1 Full (OK) Select Product Image Directory (OK) Simple Order Discount (NON*) *remise sur tout le panier et non uniquement sur la quantité programmée |
|
26 Feb 2012, 21:06
Message
#4
|
|
Ceinture orange OSC Groupe : Membres Messages : 225 Inscrit : 4-September 06 Lieu : dijon Membre no 11890 |
Bonsoir
Normalement tu peux faire cela par phpmyadmin avec la requette ci dessous DROP TABLE IF EXISTS `administrators`; CREATE TABLE `administrators` ( `id` int(11) NOT NULL AUTO_INCREMENT, `user_name` varchar(255) CHARACTER SET latin1 COLLATE latin1_bin NOT NULL, `user_password` varchar(60) NOT NULL, PRIMARY KEY (`id`) ) ENGINE=MyISAM DEFAULT CHARSET=latin1 AUTO_INCREMENT=2 ; -- -- Contenu de la table `administrators` -- INSERT INTO `administrators` (`id`, `user_name`, `user_password`) VALUES (1, 'admin', '$P$DlatwtWZMEMWSB2YeTh9TYL7gJF5fX0'); Tu n'aura plus qu'a te logger avec login=admin et mdp=admin ensuite tu remet tes vrais login et mdp via ton admin -------------------- Francois
Osco 2.31 avec pas mal de modifs qui fonctionnent. |
|
9 Mar 2012, 13:10
Message
#5
|
|
Ceinture blanche+ OSC Groupe : Membres Messages : 31 Inscrit : 28-February 12 Membre no 30641 |
Ou tout simplement dans le phpmyadmin, tu créés un nouveau compte admin sans forcément passer par la requete sql (table administrators, onglet inserer). Et ensuite tu peux supprimer le compte admin dont le mot de passe t'est inconnu.
-------------------- Version oscommerce:2.3.1
|
|
9 Mar 2012, 13:47
Message
#6
|
|
Ceinture orange OSC Groupe : Membres Messages : 225 Inscrit : 4-September 06 Lieu : dijon Membre no 11890 |
Citation Ou tout simplement dans le phpmyadmin, tu créés un nouveau compte admin sans forcément passer par la requete sql (table administrators, onglet inserer). Et ensuite tu peux supprimer le compte admin dont le mot de passe t'est inconnu. Comment met tu le mot de passe? Si tu fait les manips via phpmyadmin comme tu l'indique ci dessus, vu qu'il est codé via osco, si tu rentre un admin avec pour nom "truc". Lors de ton identification il faudra rentrer "truc et un mot de passe mais vu que dans la bdd il sera vide==>donc echec si tu rentre "truc" et tu met en clair un mdp via phpmyadmin, cela ne marchera pas non plus. -------------------- Francois
Osco 2.31 avec pas mal de modifs qui fonctionnent. |
|
10 Mar 2012, 11:47
Message
#7
|
|
Ceinture noire OSC Groupe : TechDev Messages : 2757 Inscrit : 9-September 08 Lieu : Douai Membre no 22915 |
Bonjour
S'il n'y a qu'un seul administrateur d'inscrit il appert qu'il y a encore plus simple : par phpmyadmin, aller dans la table administrators, détruire la ligne pour vider la table On se retrouve à la connexion dans catalog/admin à la création d'un premier compte administrateur. Ya + K Chti poupon PS:Ce qui permet de souligner, une fois de plus, que le répertoire admin doit être renommé. |
|
10 Mar 2012, 12:54
Message
#8
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
oui, aussi
sinon le principe de françois21 est pas mal mais risque peut-être de ne pas marcher car il manque le salt je crois dans le password et si il y a déjà un admin en 1 ça passera pas. Je ferais plutot: Code INSERT INTO `administrators` (`user_name`, `user_password`) VALUES ('tartempion', '4b0103aa039dc784c798ee767b1178d6:ab'); qui créé un admin avec nom ='tartempion' et mot de passe ='admin' Ensuite il vaut mieux changer le mot de passe depuis le panneau d'administration, mais tu fais ce que tu veux hein ? Cela dit, des boutiques hackées car le dossier admin n'a pas été renommé et qu'il n'y a pas de protection htaccess sur ce dossier, il y en a des milliers. Sur mon site j'ai enregistré les premières semaines plus de 5 tentatives de hack de ce type chaque jour: '/admin/banner_manager.php/login.php', '/admin/file_manager.php/login.php', '/admin/categories.php/login.php', '/admin/file_manager.php/login.php?action=processuploads', et j'en passe... En ayant marre de ces attaques, j'ai mis une trappe dans un dossier admin qui ajoute automatiquement l'ip de l'agresseur en banni dans le .htaccess de la racine. Désormais je n'ai plus que 1 à 2 tentatives par semaine. Une solution équivalente existe avec une contrib : osc_sec http://addons.oscommerce.com/info/8283 -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
10 Mar 2012, 19:10
Message
#9
|
|
Ceinture orange OSC Groupe : Membres Messages : 225 Inscrit : 4-September 06 Lieu : dijon Membre no 11890 |
Bonjour
Citation oui, aussi sinon le principe de françois21 est pas mal mais risque peut-être de ne pas marcher car il manque le salt je crois dans le password et si il y a déjà un admin en 1 ça passera pas. Je ferais plutot: Sauf que ma requete complete commence par "DROP TABLE IF EXISTS `administrators`;" et ensuite creer la table qui est donc vide et ne peut pas avoir un admin en 1 Citation il manque le salt Je ne suis pas un expert, c'est quoi le "salt". Chaque fois que j'ai voulu acceder a une admin dont je ne connaissais plus le login ou le mot de passe, si j'avais acces a phpmyadmin, en mettant la requete ci dessus complete j'ai toulours eu acces avec admin en login et admin en mdp. Citation INSERT INTO `administrators` (`user_name`, `user_password`) VALUES ('tartempion', '4b0103aa039dc784c798ee767b1178d6:ab'); c'est vrai que c'est plus rapide et plus court. Merci pour toute ces interventions sur le forum qui permettent de progresser. Ce message a été modifié par francois21 - 10 Mar 2012, 19:11. -------------------- Francois
Osco 2.31 avec pas mal de modifs qui fonctionnent. |
|
21 Mar 2012, 22:10
Message
#10
|
|
5eme dan OSC Groupe : Administrateur Messages : 9221 Inscrit : 4-March 03 Lieu : Pau Membre no 927 |
Citation il manque le salt Je ne suis pas un expert, c'est quoi le "salt". Sans rire, ça s'appelle comme ça et c'est une clé aléatoire qui double la sécurité du mot de passe. Si tu regardes le code de la fonction d'encryptage du password dans osC, tu vois que cette option est utilisée : Code function tep_encrypt_old_password($plain) { dans la version 2.3.1 ce mode de cryptage est passé par la classe PasswordHash qui fait la même chose en mieux.$password = ''; for ($i=0; $i<10; $i++) { $password .= tep_rand(); } $salt = substr(md5($password), 0, 2); $password = md5($salt . $plain) . ':' . $salt; return $password; } Donc, pour être compatible avec toutes les versions (la 2.3.1 sait lire les anciens mots de passe avec salt) il vaut mieux créer un pass avec cette clé. Comme tu le vois le salt est généré de manières aléatoire et on extrait 2 caractères qui sont accolés au mot de passe d'origine avant le cryptage par MD5 puis cette même clé est ajoutée en fin séparée par ":" MD5 n'a pas de fonction inverse qui permet de décrypter on fonctionne donc par comparaison : on saisit un mot de passe, on le crypte et on vérifie que le résultat est le même que ce qui est stocké en bdd. Cela a inspiré certains hackeurs qui ont constitué des bases de données de mots de passe cryptés : des millions de combinaisons sur la base d'un MD5 de chaines aléatoires avec en priorité les mots du dico. C'est beaucoup plus rapide de chercher dans une liste existante que de générer chaque possibilité puis de comparer. La première solution dite du "dictionnaire" ne fonctionne pas sur les mots de passe codés avec un salt car il faut tenir compte de ces deux caractères en plus ce qui multiplie pour chaque mots du dico les possibilités par plus de 1500. Peu probable de sctocker cela dans un fichier. Il ne reste donc que le système de la force brute : reconstituer une base de données de mots de passe en tenant compte du salt, lisible ne clair à la fin de la chaine et comparer chaque occurrence. Bien sur, la base de recherche sera généralement un dictionnaire de mots les plus utilisés mais il faut recrypter à chaque fois. La casse d'un mot de passe dépendra donc de sa complexité de base : 5 caractères (a-z en minuscule) (11881376 combinaisons) demandent quelques minutes à un gros processeur 6 caractères (A-Z a-z) (près de 20.000.000.000)avec les majuscules possibles et là ça devient nettement plus long (plusieurs heures) Si tu ajoutes les chiffres et que tu passes à 7 caractères (A-Z a-z 0-9) (plus de 3.500.000.000.000 ?), là on peut passer à plus d'un jour et si tes chiffres, lettres, majuscules et minuscules sont habilement mélangés ça peut nécessiter des jours de calcul. Enfin ça dépend de la puissance du processeur et maintenant avec des engins à 6 coeurs, voire plus si on parallélise... quelques heures? minutes? Mais ça peut aussi aller très vite, question de chance Allez pour être assez tranquille : 8 caractères avec accents + chiffres + ponctuation : une centaines de caractères possibles à la puissance 8 ? ça va faire chauffer le silicium! Raison pour laquelle il est impératif quand on utilise un mot de passe de ne jamais utiliser un simple prénom ou date de naissance comme mot de passe. Ce genre de mot de passe même entre 6 et 8 caractères se casse en moins d'une heure par dictionnaire + force-brute "martin", "sylvie", "pierre"... = cassés en moins de 10 minutes sur mon petit PC 5 caractères en minuscule, des prénoms... facile! et avec la simple majuscule initiale, ça n'est pas plus long. En revanche martiN ou mArtIn... bien plus hard! -------------------- Tout d'abord : - Ni Hotline ni Service Après Vente, ces forums sont un lieu d'échange. BIEN POSER SA QUESTION (généralités)
Les "Informations Importantes" que vous devez ABSOLUMENT avoir lues : Règlement, Bien poser sa question dans ces forums et Bien utiliser les Forums. Les raccourcis pour gagner du temps : la FAQ, les PDF de la Doc (MS2-fr): PDF-V1 et PDF-V2, le moteur de Recherche sur les forums , la Liste des Contributions de Corbin. ----------------------------- Quelques sites de référence --------------------------- PHP: Le site du Zéro et PHP Débutant avec la DOC en français -- HTML: Self HTML - WebProgrammation -- CSS: OpenWeb - AlsaCréations - CSS/Edge -- Autres ressources: - XajaX - highslide js Les bons outils : EasyPHP - WAMP-5 - - Notepad++ - Firefox et son extension WebDeveloper Le gène idéal c'est le gène original. Le génie des halles est un Génie des Alpages qui tente d'être à la page. (Merci f'murrr pour les cours de philosophie de chien) |
|
Version bas débit | Nous sommes le : 29th March 2024 - 01:44 |
Ce site est déclaré auprès de la commision Nationale de l'Informatique et des Libertés (déclaration n°: 1043896) |