logo

Archive for Password

OsCommerce – lost admin password

Immagine 5.png

Se come me avete dimenticato la password di amministratore per accedere al vostro sito OsCommerce, non vi preoccupate, la procedura per riottenere l’accesso è molto semplice!

1) Entrate nel vostro database Mysql sul quale poggia il sito

Immagine 7.png

2) Selezionate il database

Immagine 1.png

3) Visualizzate la tabella di amministratore (mostra)

Immagine 4.png

4) Segnatevi la vostra User_name (nel mio esempio Gianluca) e, al posto della vecchia user_password inserite i seguenti caratteri:

1060bdf4e47bc8b4ab3fb0cfea9ef70b:77

o, per le versioni più recenti:

68c79e6701157492d5906381c3d26b77:72

che sostituiscono la vecchia password con la seguente: admin

Immagine 3.png

5) Adesso vi potete loggare nuovamente usando “admin” come password!

Immagine 6.png




Emule e server Spia

Si sente sempre più spesso parlare di “server spia”, ovvero server creati dalle lobbi multinazionali che, nel tentativo di  difendersi dalla pirateria, registrano e monitorizzano i nostri dati condivisi su emule, conservandosi probabilmente anche il nostro indirizzo I.P.

Da quello che si legge sulla rete sembra che tale attività abbia, almeno per il momento, solo una funzione statistica ma nulla vieta per il futuro di usare le nostre firme digitali (IP) per rintracciarci.

Ormai questi server stanno affinando i loro metodi di adescamento, per esempio alterando il numero degli “user connessi” in modo tale da indurre i più golosi a connettersi al server più gettonato.

I metodi di protezione sono semplici e ben illustrati su eMuleSecurity, primo tra tutti è quello di utilizzare server.met per aggiornare la lista solo con server verificati:

su Emule andate nella finestra server ed inserire in “Aggiorna lista server.met da URL” il seguente indirizzohttp://www.gruk.org/server.met.gz

su Amule andate su preferenze/server e, su ” Aggiorna lista server all’avvio“,  cliccate il pulsante “lista”  ed inserite il seguente URL http://www.gruk.org/server.met.g

Immagine 1.png

Immagine 5.png

Immagine 3.png

Poi dobbiamo evitare che vengano automaticamente aggiunti server spia all’elenco, pertanto sia su Emule che su Amule, andate nel pannello “Preferenze” e dalla scheda “Server” disabilitate:

  • Aggiorna lista server quando ci si connette ad un server
  • Aggiorna lista server quando un client si connette

Immagine 2.png

Un Bug in RealVNC

vnc.gif 

 

Facendo vari tentativi per verificare la sicurezza di RealVNC, mi sono accordo di una falla nel sistema di autenticazione del Server (VNC Password Authentication).
Premesso  che il sistema ha una protezione contro  il Dictionary Attacks con il quale, a seguito di 5 tentavi di connessione falliti, blocca l’autenticazione a l’accesso al server per circa 10 secondi (parametro variabile modificando il file .exe con un HEX editor sostituendo “d1e18948” con “90908948”) ed il Viewer Client visualizza la seguente frase:

“too many security failures”.

Questo in effetti non è un problema in quanto, se non si ha troppa fretta,  si può impostare un ritardo tra un attacco ed il successivo.

Imposto una semplice password numerica, ad esempio 1, creo un dizionario  con   numeri da 2  a 1000 (il numero 1 l’ho inserito verso il 300) e da terminale lancio l’attacco (sempre sulla mia rete di casa), dopo pochi secondi trovo  la password : Found, password:10!

Come “password: 10”?

Approfondisco la problematica e verifico che RealVNC si limita a controllare se il campo password, composta in questo caso da solo un carattere,  contiene il  numero 1, senza preoccuparsi di quello che segue, mi spiego meglio:

se la password è “1”, per autenticarsi vanno bene anche i seguenti numeri:

11,  111, 1111, 111111, 10, 100, 1001, 111101101010101!

pertanto potete immaginare che teoricamente, le password di accesso che consentono l’autenticazione sono infinite!!!!!!

Come contributo invierò questa segnalazione a www.realvnc.com

 

…. aggiornamento

Provo a contattare RealVNC per inviare la segnalazione, ma scopro che avendo scaricato la servione Free, non sono degno di contattarli, solo i clienti  Personal ed Interprice, che hanno pagato per avere un programma con un Bug possono accedere al servizio di assistenza.

Complimenti, mi ricorda le versione RealVNC 3.3.7 e 4.1.1  dove, se qualcuno ancora non lo sa, con il giusto Exploit chiunque può bypassare la password di accesso:

 

Meta 1.png 

 e vi assicuro che funziona.