Как добавить нового пользователя, не имея старого?

Главные вкладки

Аватар пользователя pavelety pavelety 28 ноября 2012 в 19:23

Приветствую Вас!
Прошу помочь мне получить доступ к CMS.
Имею файловый доступ и доступ к базе, но пароль к пользователю cms неизвестен.
Вот база данных:

После попытки добавить нового пользователя на сайте выдается ошибка:

Но при этом база данных пополняется новым пользователем. Как при этом он должен узнать пароль?
users.status меняю на 1 и пытаюсь выслать пароль себе на почту, но ошибка:

Нашёл в коде соль и алгоритм шифрования (sha512), можно ли как-то подменить пароль в базе на нужный (правильный)?
Или, может, есть другие действия по добавлению пользователя?

ЗЫ: нет возможности запустить drush на хостинге.

Комментарии

Аватар пользователя pavelety pavelety 28 ноября 2012 в 19:39

eLSe wrote:
Я решение знаю, но не скажу, а то потом скажут что помогла взломать добрых людей.

Могу оправдать себя и сказать, что сайтом давно никто не занимался, и те люди уже давно ушли. И мне было поручено сайт оживить, откуда у меня по-вашему доступ к ssh и mysql?
Но главное, что Вы меня обнадёжили, что решение всё-таки есть! Smile

Аватар пользователя eLSe eLSe 28 ноября 2012 в 19:58

Ладно. Дам подсказку.
Вариант первый: если известен пароль хотя бы одной учетки, то меняем uid на 1 и вуаля!...
Вариант второй: если создать пользователя с той же солью и алгоритмом шифрования с известным паролем, то потом можно вернуться к пункту первому

Аватар пользователя eLSe eLSe 28 ноября 2012 в 20:01

ну еще для ленивых: запоминаем email любой учетки, меняем в базе на свой, проходим по интерфейсу процедуру восстановления пароля.... и снова возвращаемся к пункту 1

Аватар пользователя pavelety pavelety 28 ноября 2012 в 20:35

eLSe wrote:
ну еще для ленивых: запоминаем email любой учетки, меняем в базе на свой, проходим по интерфейсу процедуру восстановления пароля.... и снова возвращаемся к пункту 1

1)Пароль ни одного пользователя неизвестен.
2)Это-то я и спрашивал, как сделать...
3)Интерфейс восстановления пароля не работает - выдает ошибку и на почту ничего не приходит.

Уже нашёл про password-hash.sh, чтобы сделать по 2му пункту, но консоль через ssh выдает ошибку:

-bash-4.1$ sh password-hash.sh
password-hash.sh: line 2: ?php: Нет такого файла или каталога
password-hash.sh: line 3: //: является директорией
password-hash.sh: line 5: /aquota.group: Отказано в доступе
password-hash.sh: line 6: code-clean.sh: команда не найдена
password-hash.sh: line 7: code-clean.sh: команда не найдена
password-hash.sh: line 85: unexpected EOF while looking for matching `''
password-hash.sh: line 92: ошибка синтаксиса: неожиданный конец файла

Под рутом:

-bash-4.1$ su root ./password-hash.sh                                          
Пароль:
./password-hash.sh: line 2: ?php: Нет такого файла или каталога
./password-hash.sh: line 3: //: является директорией
./password-hash.sh: line 5: /aquota.group: Отказано в доступе
./password-hash.sh: line 6: code-clean.sh: команда не найдена
./password-hash.sh: line 7: code-clean.sh: команда не найдена
./password-hash.sh: line 85: unexpected EOF while looking for matching `''
./password-hash.sh: line 92: ошибка синтаксиса: неожиданный конец файла

Наверное, по той же причине, что и drush не запускался (уже не помню, но что-то вроде запрета на php-exec).

Как быть? Попробую ещё, конечно, запустить скрипт на домашней машине...

Аватар пользователя eLSe eLSe 28 ноября 2012 в 20:37

Поставь локально семерку с той же солью и алгоритмом шифрования - получишь хэш. Ну или можно посмотреть функцию формирования пароля и запустить ее со своими параметрами...

Аватар пользователя pavelety pavelety 29 ноября 2012 в 1:07

eLSe wrote:
Поставь локально семерку с той же солью и алгоритмом шифрования - получишь хэш. Ну или можно посмотреть функцию формирования пароля и запустить ее со своими параметрами...

Собственно, так и сделал. Пришёл домой, зашёл в линукс, открыл в локальной копии сей скрипт, и вот тебе пароль:)
Когда создавал тему, про скрипт не знал, поэтому премного благодарю!

Аватар пользователя eLSe eLSe 28 ноября 2012 в 20:38

А вообще раз с модулем user такая беда, то и с паролем едва ли войдешь... Тут проще с нуля сайт поднять и данные перетащить

Аватар пользователя eLSe eLSe 28 ноября 2012 в 23:26

На самом деле очень понимаю ситуацию. Мне не раз доставались в наследство сайты без известных учёток к админке. Хорошо когда учетку от хостинга передавали. А раз было что есть сайт, есть доступ к cpanel, а хостер неизвестен! По DNS вычислила хостера (питерский, название уже не помню), а он... уже не существует! Оплату сайта по бухгалтерии подняла - оплата была до февраля, а дело уже в октябре месяце того же года было. Представьте мой шок: хостера нет, а сайт существует! Чудом нагуглила новость, что хостер в начале года был куплен Хостинг-центром (РБК). Звоню в техподдержку (попала в Москву) - они говорят "знать вас не знаем, нету у нас такого сервера и сайта вашего, не клиенты вы нам". После часа препирательств по телефону додумались меня на питерскую техподдержку перенаправить. Снова объяснила ситуацию, те обрадовались (ух ты! а у нас тут еще должников то оказывается кроме вас.. целый сервер!). Казалось бы - шлите счет, оплатим. Но нет! Мы ж учетки на хостинге не имеем! Говорят, а как вы докажете что вы от лица этой организации уполномочены? Шлите нам почтой(!) заверенную бумажку. Уговорила не отключать пока не оплатим. Бегу терроризировать начальство, в тот же день шлю бумажку... Но информация доходит до московского офиса и они не зная нашей договоренности отрубают сервер.... Занавес Smile

Аватар пользователя pavelety pavelety 29 ноября 2012 в 1:06

eLSe wrote:
На самом деле очень понимаю ситуацию. Мне не раз доставались в наследство сайты без известных учёток к админке. Хорошо когда учетку от хостинга передавали. А раз было что есть сайт, есть доступ к cpanel, а хостер неизвестен! По DNS вычислила хостера (питерский, название уже не помню), а он... уже не существует! Оплату сайта по бухгалтерии подняла - оплата была до февраля, а дело уже в октябре месяце того же года было. Представьте мой шок: хостера нет, а сайт существует! Чудом нагуглила новость, что хостер в начале года был куплен Хостинг-центром (РБК). Звоню в техподдержку (попала в Москву) - они говорят "знать вас не знаем, нету у нас такого сервера и сайта вашего, не клиенты вы нам". После часа препирательств по телефону додумались меня на питерскую техподдержку перенаправить. Снова объяснила ситуацию, те обрадовались (ух ты! а у нас тут еще должников то оказывается кроме вас.. целый сервер!). Казалось бы - шлите счет, оплатим. Но нет! Мы ж учетки на хостинге не имеем! Говорят, а как вы докажете что вы от лица этой организации уполномочены? Шлите нам почтой(!) заверенную бумажку. Уговорила не отключать пока не оплатим. Бегу терроризировать начальство, в тот же день шлю бумажку... Но информация доходит до московского офиса и они не зная нашей договоренности отрубают сервер.... Занавес :)

Кул стори! Smile

Аватар пользователя klimp klimp 29 ноября 2012 в 0:01

"pavelety" wrote:
1)Пароль ни одного пользователя неизвестен.

Скопируёте хэш любого пароля из любой вашей БД, где пароль известен. Но это наверное наименьший из ваших головняков с этим сайтом

Аватар пользователя eLSe eLSe 29 ноября 2012 в 11:45

Раз понравилось - вот вам продолжение Smile
За два дня до отключения сайтов:
Мне сказали логин от учетки на хостинге. Но пароль говорить отказались пока не придет Бумажка. Лезу восстанавливать пароль (само собой не знаю на какой адрес придет пароль). Пароль выслан, никто из сотрудников не сознается на чью почту пришло (там холдинг из нескольких фирм). Пыталась уговорит техподдержку прописать за аккаунтом общеизвестный адрес нашей организации (на домене одного из тех сайтов) - отказали. Адрес выпытала у техподдержки, но его пароль тоже утерян... Лезу в его восстановление - секретный вопрос "Номер шестерки" О_о.
За день до отключения сайтов:
Снова мучаю всех сотрудников, выпытываю кто регал/пользовался этой почтой.
В день отключения сайтов:
Сайты отключены... Начальство в панике.
Узнаю что почту регал бывший сеошник, конечно первый вопрос: а была ли у него машина, шестерка? Ура! Была! А номер кто знает? Эврика, его помнит охрана Smile До сих пор помню номер С***ЕО. Захожу в почту, получаю пароль... И тут техподдержка радостно уведомляет: руководство разрешило пойти вам на встречу и мы привязали ваш аккаунт к той почте... Dash 1 Dash 1 Dash 1 *поток нецензурных выражений в адрес хостера* А ХОСТИНГ ТО ОТКЛЮЧЕН! А значит отключен и почтовый сервер. Хорошо что к тому времени у меня был и логин и пароль. Happy END.

Аватар пользователя ser_house ser_house 29 ноября 2012 в 18:47

"eLSe" wrote:

По Вашему сюжету боевик с матом, мордобоем, инсайдерами для хостера снимать можно. Smile
Чтобы в начале эпизодов внизу строчки: «За два дня до отключения», «За день до отключения» Smile

Аватар пользователя eLSe eLSe 29 ноября 2012 в 18:51

ога, и в главной роли хрупкая голубоглазая девочка-блондинка Lol А положение и правда боевое было...