Frage: Benutzer = ok! aber wie Password auslesen?

getsha · 3. März 2017, 23:49

Welche Dateien brauch ich denn von der Zip? :o
Und was muss ich bei serialize machen?

jvbsl · 4. März 2017, 00:16

Erstmal den Datenblob angucken, dann sehen wir ob das überhaupt einen Sinn hat und in die richtige Richtung geht, die Beschreibung von serialize hilft dann das deserialize(unserialize - hört sich mMn komisch an) in C# zu implementieren ist ja auch nur eine Aufbaubeschreibung der Daten.

Und dann gilt es daran die PHP Dateien zu übersetzen:

jvbsl schrieb:

xenforo/upload/library/XenForo/PasswordHash.php
xenforo/upload/library/XenForo/Authentication/Core12.php

die sollten in der Zip zu finden sein

Aber erst eins nach dem anderen, an die Übersetzung von denen geht man dann am schluss

getsha · 4. März 2017, 00:31

Das steht in der Blob drine..

PHP-Quellcode

a:1:{s:4:"hash";s:60:"$2a$10$oq1TGhWm6UcSuaBma8dCq.5YHK81aApZZoh2AjMtOAS5kGgZD68tK";}

jvbsl · 4. März 2017, 13:33

laut Code scheint es Blowfish zu sein, aber hab wohl irgendetwas falsch gemacht, denn es kommt raus, dass der der Hash nicht zum Passwort "123456789" passt.
sandbox.onlinephpfunctions.com/

PHP-Quellcode

<?php
$hash = '$2a$10$oq1TGhWm6UcSuaBma8dCq.5YHK81aApZZoh2AjMtOAS5kGgZD68tK';
if ($hash == crypt('passwort',$hash))
echo "Correct password";
else
echo "Wrong password";
?>

kannst ja selber mal probieren, vlt. hast ein anderes Passwort, das passt.

Trade · 4. März 2017, 14:10

Das ist immer etwas verzwickt, da das richtige rauszubekommen. Vielleicht ist es ja auch nicht nur einfach gehasht, sondern mehrmals angewandt worden. Macht das WBB/WCF auch so.

Grüße

getsha · 4. März 2017, 16:39

Das was ich dir gegeben habe.. müsste "EB41WTZL" sein das Passwort.
P.S. Tut mir leid, war mein Fehler.

Wie benutz ich denn den .php Code? zum Testen.

jvbsl · 4. März 2017, 19:21

Also ist crypt hier korrekt, wenn wir davon ausgehen, dass du nicht zu PHP < 5 gehst und die Authentifizierung nicht änderst dürfte das auch so bleiben.

den PHP code kannst du testen, indem du ihn auf die von mir gepostete Seite kopierst, 'passwort' durch dein PW ersetzt, hier also('EB41WTZL') und dann dürfte nach einem execute in der ausgabe "Correct password" stehen, bei mir zumindest funktionierts.

D.h. du musst nur in C# nachstellen, was der obige PHP Code macht
der erste Teil $2a$10$
die 10 ist soweit ich weiß der Iterationscount, was 2a ist bin ich mir nicht sicher, oq1TGhWm6UcSuaBma8dCq ist der Salt und 5YHK81aApZZoh2AjMtOAS5kGgZD68tK hash
bei einem Input von deinem Passwort und deinem Salt über 10 iterationen(und was auch immer 2a bedeutet - kann vlt. jemand anders sagen), sollte dasselbe ergebnis rauskommen wie beim Hash, ist dies der Fall ist das eingegebene Passwort korrekt, ist dies nicht der Fall handelt es sich um ein falsches Passwort

getsha · 4. März 2017, 20:00

Das Passwort: "EB41WTZL" ist korrekt.

Wie muss ich nun weiter vorgehen? Freue mich gerade so, endlich mal was postives. *-*

Jetzt muss ich das nur in VB.Net eingebaut bekommen.. Das der Benutzername von der "xf_user" - (username )herausgelesen wird und das
Passwort aus der Tabelle "xf_user_authenticate" - (remember_key) die Blob-Datei.

Trade · 4. März 2017, 20:08

Dasselbe, was der PHP-Code macht in VB.NET implementieren. Hint: Dazu den Algorithmus dafür raussuchen.
Dann kannst Du alles abfragen. Ist zwar imho unschön, aber wenn Du kein PHP-Skript basteln willst, dann musste es so machen.

Grüße

getsha · 4. März 2017, 20:33

Aber nun ist die Frage wie ich den .php-Code umsetze..

Frage: Benutzer = ok! aber wie Password auslesen?

jvbsl schrieb:

PHP-Quellcode

PHP-Quellcode

Ähnliche Themen

6 Benutzer haben hier geschrieben