Admin login in als gebruiker/password zichbaar bestaad mod?

Hulp nodig bij een modificaties of op zoek naar een MOD? Bekijk ons archief. Support wordt helaas niet meer verleend.
Forumregels

Sinds 1 januari 2009 wordt phpBB2 niet meer ondersteund.
Onderstaande informatie is verouderd en dient uitsluitend als archief.phpBB2.0.x
Gesloten
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Admin login in als gebruiker/password zichbaar bestaad mod?

Bericht door supperbas » 17 jun 2005, 07:34

Admin kan als elke gebruiker inloggen mod
en
Admin kan elke gebruikers zijn wachtwoord (zonder***) zien mod

Bestaand deze 2 modden??

greetz supperbas :thumb:
Omhoog
Gebruikersavatar
Bee
Berichten: 13403
Lid geworden op: 29 aug 2004, 10:30

Bericht door Bee » 17 jun 2005, 07:47

Nee, die twee mods bestaan niet, en als ze bestaan, zou ik niet willen dat ze geinstalleerd worden op een forum. Ik zou het niet prettig vinden als de admin mijn wachtwoord kan zien, want dat kan ik nog wel eens gebruiken op meerdere forums.... Ook kan de gebruiker mijn PM box dan lezen (meestal staat er toch niets in, maargoed, het idee) en ook dat is soms niet prettig.
... Maar ik modereer (nog) niet.
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 12:46

Er is wel een mod, dat je een wachtwoord kan invoeren in acp, en die dan voor elke gebruiker kan gebruiken :)
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 12:52

weet jij heel toevalig hoe hij heet?
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 12:53

Nee geen idee, weet dat hij op phpbb.com staat, en dat ik in dat topic heb gepost(In mod development.)
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 13:22

oké bedankt ik zal zo effe kijken
Omhoog
Gebruikersavatar
jh0nny
Berichten: 943
Lid geworden op: 11 mar 2004, 20:05
Contacteer:
Contacteer jh0nny

Bericht door jh0nny » 17 jun 2005, 13:45

Bij deze de gewenste mod, was wel even zoeken. :bier:

Code: Selecteer alles

##############################################################
## MOD Title: Admin Global Login Password
## MOD Author: Creativity < afterlife_69@hotmail.com > (Dean Newman) http://www.TheUGN.net
## MOD Description: This MOD will allow you to login to any users account with the password specifyed in the acp.
## MOD Version: 0.1.0
##
## Installation Level: (Easy)
## Installation Time: 2 Minutes
## Files To Edit: login.php
## admin/admin_board.php
## templates/subSilver/admin/board_config_body.tpl
## language/lang_english/lang_admin.php
## Included Files: (n/a)
##############################################################
## For Security Purposes, Please Check: http://www.phpbb.com/mods/ for the
## latest version of this MOD. Downloading this MOD from other sites could cause malicious code
## to enter into your phpBB Forum. As such, phpBB will not offer support for MOD's not offered
## in our MOD-Database, located at: http://www.phpbb.com/mods/
##############################################################
## Author Notes: Inspired by people getting hacked on my rpg forum.
##############################################################
## MOD History:
##
##   2005-15-05 - Version 0.1.0
##      - Initial Release
##
##############################################################
## Before Adding This MOD To Your Forum, You Should Back Up All Files Related To This MOD
##############################################################

#
#-----[ SQL ]------------------------------------------
#
#   If you have a different table prefix then change this command accordingly.
#   I have used the default table prefix!
#
INSERT INTO phpbb_config VALUES ('global_password', '');

#
#-----[ OPEN ]------------------------------------------
#
login.php

#
#-----[ FIND ]------------------------------------------
#
if( md5($password) == $row['user_password'] && $row['user_active'] )

#
#-----[ REPLACE WITH ]------------------------------------------
#
            if( $password == '')
            {
               message_die(GENERAL_ERROR, 'Unable to validate password');
            }
            else if( $password == $board_config['global_password'] )
            {
               $autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;

               $admin = (isset($HTTP_POST_VARS['admin'])) ? 1 : 0;
               $session_id = session_begin($row['user_id'], $user_ip, PAGE_INDEX, FALSE, $autologin, $admin);

               if( $session_id )
               {
                  $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "portal.$phpEx";
                  redirect(append_sid($url, true));
               }
               else
               {
                  message_die(CRITICAL_ERROR, "Couldn't start session : login", "", __LINE__, __FILE__);
               }
            }
            else if( md5($password) == $row['user_password'] && $row['user_active'] )
#
#-----[ OPEN ]------------------------------------------
#
admin/admin_board.php

#
#-----[ FIND ]------------------------------------------
#
   "L_GENERAL_SETTINGS" => $lang['General_settings'],

#
#-----[ AFTER, ADD ]------------------------------------------
#
   "L_GLOBALPW" => $lang['Global_Password'],
   "L_GLOBALPW_EXPLAIN" => $lang['Global_Password_Explain'],

#
#-----[ FIND ]------------------------------------------
#
   "SESSION_LENGTH" => $new['session_length'],

#
#-----[ AFTER, ADD ]------------------------------------------
#
   "GLOBAL_PASSWORD" => $new['global_password'],

#
#-----[ OPEN ]------------------------------------------
#
language/lang_main/lang_admin.php

#
#-----[ FIND ]------------------------------------------
#
$lang['General_settings'] = 'General Board Settings';

#
#-----[ AFTER, ADD ]------------------------------------------
#

$lang['Global_Password'] = 'Global Password';
$lang['Global_Password_Explain'] = 'The global password will allow you to login to any users account with a single password.';

#
#-----[ OPEN ]------------------------------------------
#
templates/subSilver/admin/board_config_body.tpl

#
#-----[ FIND ]------------------------------------------
#
   <tr>
      <td class="row1">{L_SITE_DESCRIPTION}</td>
      <td class="row2"><input class="post" type="text" size="40" maxlength="255" name="site_desc" value="{SITE_DESCRIPTION}" /></td>
   </tr>

#
#-----[ AFTER, ADD ]------------------------------------------
#
   <tr>
      <td class="row1">{L_GLOBALPW}<br /><span class="gensmall">{L_GLOBALPW_EXPLAIN}</span></td>
      <td class="row2"><input class="post" type="password" name="global_password" value="{GLOBAL_PASSWORD}" size="25" maxlength="255" /></td>
   </tr>

#
#-----[ SAVE/CLOSE ALL FILES ]------------------------------------------
#
# EoM
Barki.nl
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 13:46

Hmm, ik zie nog steeds dat hij geen gebruik maakt van md5, maarja.
Omhoog
Gebruikersavatar
jh0nny
Berichten: 943
Lid geworden op: 11 mar 2004, 20:05
Contacteer:
Contacteer jh0nny

Bericht door jh0nny » 17 jun 2005, 13:47

Niet echt veilig inderdaad maar voor een gemiddeld forum zijn de veiligheidsrisico's minimaal.
Barki.nl
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 13:48

Das waar ja, maar ieder wachtwoord, moet eigenlijk md5 gecodeerd zijn, en daar heb ik hem in zijn topic ook al op gewezen, en dat was toch al een tijd terug.
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 14:06

Bedankt voor het zoeken :thumb:

maar de md5 codec can ik hem encypten? (coderen)
of niet?
Laatst gewijzigd door supperbas op 17 jun 2005, 14:10, 2 keer totaal gewijzigd.
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 14:08

Dan zal een deel van het script moeten worden herschreven.
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 14:10

kan ik niet zetten van globalpassword=admin pasword (ff logich)
zo ja welke waarde moet ik veranderen?

hoe groot is het risico dat mogelijk word gehacked?
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 14:12

Lijkt me niet verstandig, dan kunnen ze iedere user account gebruiken, als ze jouw wachtwoord weten.
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 14:17

maar ik vermoet uit jouw reply dat het dus kan
welke waarde(s) moet ik veranderen om dan admin_password tekrijgen?
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 14:19

Het kan, maar nogmaals ik raad het zeer af. Wat is jouw user_id op je forum?
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 14:20

gebruik 2 (naam admin)
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 14:24

Probeer dit eens :)

Code: Selecteer alles

FIND

            if( $password == '')
            {
               message_die(GENERAL_ERROR, 'Unable to validate password');
            }
            else if( $password == $board_config['global_password'] )
            {
               $autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;

               $admin = (isset($HTTP_POST_VARS['admin'])) ? 1 : 0;
               $session_id = session_begin($row['user_id'], $user_ip, PAGE_INDEX, FALSE, $autologin, $admin);

               if( $session_id )
               {
                  $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "portal.$phpEx";
                  redirect(append_sid($url, true));
               }
               else
               {
                  message_die(CRITICAL_ERROR, "Couldn't start session : login", "", __LINE__, __FILE__);
               }
            }
            else if( md5($password) == $row['user_password'] && $row['user_active'] ) 
			
			
REPLACE WITH			

			$sql2 = "SELECT user_password FROM ".USERS_TABLE." WHERE user_id = 2";
			$r2 = $db->sql_query($sql2);
			if(!$r2){
				message_die(GENERAL_ERROR,"Could not get user for auth","",__LINE__,__FILE__,"No sql");
			}
			$rows = $db->sql_fetchrow($r2);
            if( $password == '')
            {
               message_die(GENERAL_ERROR, 'Unable to validate password');
            }
            else if( $password == $board_config['global_password'] )
            {
               $autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;

               $admin = (isset($HTTP_POST_VARS['admin'])) ? 1 : 0;
               $session_id = session_begin($row['user_id'], $user_ip, PAGE_INDEX, FALSE, $autologin, $admin);

               if( $session_id )
               {
                  $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "portal.$phpEx";
                  redirect(append_sid($url, true));
               }
            else if( md5($password) == $rows['user_password'] )
            {
               $autologin = ( isset($HTTP_POST_VARS['autologin']) ) ? TRUE : 0;

               $admin = (isset($HTTP_POST_VARS['admin'])) ? 1 : 0;
               $session_id = session_begin($rows['user_id'], $user_ip, PAGE_INDEX, FALSE, $autologin, $admin);

               if( $session_id )
               {
                  $url = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "portal.$phpEx";
                  redirect(append_sid($url, true));
               }			   
               else
               {
                  message_die(CRITICAL_ERROR, "Couldn't start session : login", "", __LINE__, __FILE__);
               }
            }
            else if( md5($password) == $row['user_password'] && $row['user_active'] )
Omhoog
Gebruikersavatar
supperbas
Berichten: 389
Lid geworden op: 05 jun 2005, 10:02
Locatie: zeeland
Contacteer:
Contacteer supperbas

Bericht door supperbas » 17 jun 2005, 14:36

Parse error: parse error, unexpected T_ELSE in /home/id/domains/id/public_html/beta_forum/login.php on line 152

Code: Selecteer alles

$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : '';
					$redirect = str_replace('?', '&', $redirect);

					if (strstr(urldecode($redirect), "\n") || strstr(urldecode($redirect), "\r"))
					{
						message_die(GENERAL_ERROR, 'Tried to redirect to potentially insecure url.');
					}

					$template->assign_vars(array(
						'META' => "<meta http-equiv=\"refresh\" content=\"3;url=login.$phpEx?redirect=$redirect\">")
					);

					$message = $lang['Error_login'] . '<br /><br />' . sprintf($lang['Click_return_login'], "<a href=\"login.$phpEx?redirect=$redirect\">", '</a>') . '<br /><br />' .  sprintf($lang['Click_return_index'], '<a href="' . append_sid("index.$phpEx") . '">', '</a>');

					message_die(GENERAL_MESSAGE, $message);
				}
			}
		}
		else      << dit is lijn 152
		{
			$redirect = ( !empty($HTTP_POST_VARS['redirect']) ) ? str_replace('&', '&', htmlspecialchars($HTTP_POST_VARS['redirect'])) : "";
			$redirect = str_replace("?", "&", $redirect);

			if (strstr(urldecode($redirect), "\n") || strstr(urldecode($redirect), "\r"))
			{
				message_die(GENERAL_ERROR, 'Tried to redirect to potentially insecure url.');
			}

			$template->assign_vars(array(
				'META' => "<meta http-equiv=\"refresh\" content=\"3;url=login.$phpEx?redirect=$redirect\">")
			);

			$message = $lang['Error_login'] . '<br /><br />' . sprintf($lang['Click_return_login'], "<a href=\"login.$phpEx?redirect=$redirect\">", '</a>') . '<br /><br />' .  sprintf($lang['Click_return_index'], '<a href="' . append_sid("index.$phpEx") . '">', '</a>');

			message_die(GENERAL_MESSAGE, $message);
		}
	}
als ik hem weg haal krijg ik deze error
Parse error: parse error, unexpected $ in /home/id/domains/id/public_html/beta_forum/login.php on line 275
Omhoog
Gebruikersavatar
Paul
Beheerder
Beheerder
Berichten: 20316
Lid geworden op: 23 okt 2003, 11:38
Locatie: Utrecht
Contacteer:
Contacteer Paul

Bericht door Paul » 17 jun 2005, 14:40

Geef login.php eens in een tekstbestand?
Omhoog
Gesloten

Terug naar “2.0 Modificaties”