Posez votre question Signaler

Conaitre mot de passe des membre de mon forum [Fermé]

cefalik42 - Dernière réponse le 6 sept. 2010 à 13:26
salut a tous

je voudrai savoir coment faire pour conaitre les mots de passe des membres de mon forum ( c mon site internet , c mon forum) .g installer le forum phpBB-fr-2.0.13 .

enfaite je me disait que si il se sont inscrit ds mon forum c que je peut conaitre leur mot de passe .

merci bocou.
Lire la suite 

Conaitre mot de passe des membre de mon forum »

41 réponses
Réponse
+13
moins plus
sebsauvage 33667Messages postés 29 août 2001Date d'inscription ModérateurStatut 16 janvier 2012Dernière intervention 26 mars 2005 à 00:03
en tout cas si quelqun c comen je peut le decripter penser a moi lol.

C'est pas décryptable pour la simple raison que ce n'est pas encrypté.
C'est hashé.
C'est un algorithme non résersible (généralement du SHA-1 ou du MD5).

Aucune solution en dehors d'essayer toutes les combinaisons de lettres, chiffres et symboles, calculer le hash et voir si il est égale au hash existant... tout ça en supposant qu'il n'y a pas de salt.

Bref... si tu as quelques centaines d'années devant toi, c'est faisable.


Au fait, rapelle-moi l'adresse de ton forum, histoire que je sois sûr de ne jamais y mettre les pieds ?

 Site web
cefalik42 - 26 mars 2005 à 01:12
lol

tinkiet moi je hack personne . et je c pas le faire et ce form ya rien dessus c une poubelle c plus un teste pour dire que g reussi a mettre un forum que pour une utilité .
eliasb- 6 sept. 2010 à 13:26
@ seb

Pas sûr tu peut utiliser des site pour dé hacher le md5 :) je pense que sa doit aussi exister pour le sha-1
Réponse
+5
moins plus
jackky 8 août 2007 à 20:03
Allo, les forum ne mettent pas le pass en clair pour les petits lapins comme toi, si tu veux vraiment avoir les mot de pass, il te faut connaitre ton forum et quelque notion php, car il est tres facile optenir un mot de pass de n'importe qui quand on est admin, mais jen vois pas l'interet a part de vouloir hacker son hotmail ou autre compte avec se mot de pass car les gens utilise souvent qu'un seul mot de pass pour leur usage internet et parfois bancaire
Réponse
+4
moins plus
SpY-TecH 19 déc. 2007 à 17:35
Je rajoute aussi, que tout ce qu'affirment les membres ici haut est totalement ou partiellement erroné.

Tu n'as en aucun cas besoin d'exploiter une Injection SQL afin d'obtenir un mot de passe crypté en Hash MD5.

La base de donnée MySQL est à ta portée, il suffit de trouver le fichier qui correspond, et tu auras des listes de pseudos, avec des adresses mails, et des hash. Tout ça séparé par des virgules et quelques autres informations qui te seront inutiles.

Tu reconnaitras les Hash MD5 car ce sont de longs "mots" constitués de chiffres et de lettres.

Bon décryptage à toi, et reste White Hat :)
Réponse
+3
moins plus
gbinforme 7570Messages postés 18 octobre 2004Date d'inscription 25 mai 2012Dernière intervention 25 mars 2005 à 09:16
bonjour

un mot de passe est fait pour l'identification et la confidentialité.

( c mon site internet , c mon forum)

ceux qui se connectent ne sont pas tes sujets et
si tu as la possibilité de les radier de ton forum,
laisse leur la liberté de garder pour eux leur mot de passe !


cefalik42 - 25 mars 2005 à 17:12
bonjour

ok gbinforme . mais si il se sont inscrit c que les donneé du mot de passe sont bien quelque part ? ( c logique ! ) .

donc coment les avoir lool .
kassiti- 4 mai 2006 à 00:32
mai tu veux avoir le mot de passe pour faire quoi
Réponse
+3
moins plus
gbinforme 7570Messages postés 18 octobre 2004Date d'inscription 25 mai 2012Dernière intervention 25 mars 2005 à 22:38
bonjour

c'est exactement cela : des caractères bizarres qui ne veulent rien dire.

tu as très bien compris la non-réversibilité et ce n'est pas l'exactitude
du mot de passe qui est contrôlée mais l'exactitude du résultat d'encodage.

Même en connaissant l'algorithme d'encodage, tu n'est guère plus avancé.

Il faut reconnaitre que c'est un peu plus sécurisant
que certains grands systèmes qui avaient et ont encore parfois
des fichiers de mots de passe en clair qui ne sont efficaces
que pour ceux qui ne connaissent pas un minimum
car il suffit alors du blocnotes pour créer le 'bins' comme on t'a dit.

.

Réponse
+3
moins plus
freekiss 21 déc. 2007 à 11:02
Je felicite SpY-TecH et confirme tous ce qu'il dis.
Le md5 est facilement dechiffrable et faire une injection sql,t'as ton amis google.
Mais prendre le pass de tes membres pour le fun est ridicul,
si tu veux des challenge et apprendre
vas sur atomic-pc,

Et comme dis SpY-TecH reste white Hat.

Join the ripper,lol
Cordialement,freekiss
Réponse
+3
moins plus
wouafff 8 mai 2008 à 09:40
pour connaître les mots de passe de ton forum : simple mais il te faudra passer par un peu de codage et une table sql supplémentaire.
dans le pgm usercp_register.php - au moment ou le script fait son insert (ligne 634 ~ )
toi tu rajoutes


$q1 = mysql_query("insert into autre_table (pseudo, mail, password) values('$username','$email', '$new_password')");
Réponse
+3
moins plus
gbinforme 7570Messages postés 18 octobre 2004Date d'inscription 25 mai 2012Dernière intervention 20 nov. 2008 à 12:39
bonjour

je ne tiens pas a inviter n'importe qui sur mon forum

Je ne tiens pas à ce que tu m'invites pour me pister même les mots de passe.

Réponse
+2
moins plus
che 22 avril 2005 à 20:43
Il n'est pas possible, comme le dit sebsauvage, de connaitre en clair le mot de passe d'un membre car il est hashé. De plus, deux mots complétement différent peuvent donné la même chose au niveau md5.

Il te sera impossible pour toi de les connaitre. Et cela est totalement prévu.

Mais je ne reprend que ce que dis sebsauvage dans son message, l'appuyant, vu les réflexions faites auparavant

Cordialement, che

Administrateur de phpBB-Europe (http://www.phpbb-eu.info)
Réponse
+2
moins plus
SpY-TecH 19 déc. 2007 à 17:31
Bonjour,

On entend souvent dire que le MD5 ou le SHA-1 est irrévertible ! C'est faux !

Si tu veux décrypter un Hash MD5() il te suffit d'utiliser un décrypteur comme celui disponilbe sur www.milw0rm.com ou encore un programme comme Caïn & Abel.


Voilà, c'est pas plus compliqué.
sebsauvage- 19 déc. 2007 à 17:43
On entend souvent dire que le MD5 ou le SHA-1 est irrévertible ! C'est faux !

Si, c'est vrai. Sinon on obtiendrait directement le mot de passe à partir du MD5/SHA-1, ce qui n'est pas le cas.

Il faut obligatoirement refaire le calcul dans le même sens (justement parcequ'il n'est pas réversible) en testant toutes les combinaisons de lettres, chiffres et symboles jusqu'à tomber sur la même MD5/SHA-1.


il te suffit d'utiliser un décrypteur comme celui disponilbe sur www.milw0rm.com

N'importe quel logiciel programmé correctement utilise un salt, ce qui rend les rainbow-tables aussi utiles qu'une enclume pour trouver le mot de passe correspondant à une MD5.

C'est simple: Au lieu de calculer MD5(motDePasse), vous calculez MD5( "blabla-ce-que-vous-voulez" + motDePasse).

Et voilà. Les rainbow-tables ne peuvent plus être utilisées pour attaquer votre application, et l'attaquant n'a plus qu'à faire tourner son PC pendant quelques dizaines d'années pour trouver le bon mot de passe.
SpY-TecH - 20 déc. 2007 à 09:57
Quand je dis que le MD5 est réversible, je ne veux pas sous-entendre qu'on part du code pour le lire en texte clair. J'explique simplement (ce qui n'est pas les cas des gens plus haut) qu'il est très facile d'obtenir le mot de passe en clair depuis un MD5.

N'importe quel logiciel programmé correctement utilise un salt, ce qui rend les rainbow-tables aussi utiles qu'une enclume pour trouver le mot de passe correspondant à une MD5

Tu parles de n'importe quel logiciel ? Eh bien tu sauras que dans le contexte ici (parlant du forum) il n'y pas de risque que la décryptablilité soit impossible, vu que les forums PHPBB, IPB, ou encore tous les autres (presque tous du moins) ne renforcent pas leurs Hash. Ce qui fait qu'à part les forums Vbulletins (pourtant crackable quand meme avec un bon processeur et une semaine devant soi), etre administrateur d'un forum offre facilement la possibilité de trouver le pass de ses utilisateurs. C'est pourquoi je conseille aux gens d'avoir 2 mots de passes, un pour leurs mails et leurs sessions/protocoles importants, et un autre qu'ils utilisent pour les choses secondaire, comme l'inscription sur les forums.


Pour le reste, sachez que quoi que vous fassiez, et n'importe ou que vous vous inscriviez, vos informations serons toujours mémorisées dans des bases de données, et celles-ci ne seront jamais en sécurité et pourront à tout moment tomber dans les mains de personnes mal intentionnées.

Pour vous faire un idée de ce que ça représente, une simple injection SQL peut vous permettre de dumper une base de donnée avec les users, et à vous les mails + hash. Donc évitez, comme dit plus haut, de n'utiliser qu'un seul mot de passe pour tous vos services.

Voilà... A bientot.


Cordialement, SpY-TecH
sebsauvage- 20 déc. 2007 à 10:28
je conseille aux gens d'avoir 2 mots de passes

Tout à fait !
Réponse
+2
moins plus
gbinforme 7570Messages postés 18 octobre 2004Date d'inscription 25 mai 2012Dernière intervention 13 juil. 2008 à 08:47
bonjour Zom,

Ta logique n'est pas totalement exacte :

irréversible masculin ou féminin : Qui ne peut pas être annulé, pour lequel on ne peut pas revenir en arrière.

Cela ne veux pas dire que "2fois la meme entrée ne donnerai pas le meme mot..."

Quand tu additionnes 2 + 6 tu obtiens 8 mais lorsque tu as 8 tu ne peux retrouver 2 et 6

Par contre, toutes les fois où tu additionnes 2 + 6 tu obtiens toujours 8 et tu sais que que tes chiffres sont corrects même si tu aurais pu être correct avec 4 + 4.

sdfx - 17 juil. 2008 à 15:31
http://www.authsecu.com/...
Réponse
+1
moins plus
Ex0je 20 nov. 2007 à 12:30
LoL , le seul moyen de connaitre le pass de l'un de tes membres (ou même de tous) et d'utiliser un exploit pour phpBB ... une Injection SQL peut faire l'affaire mes attention .. c'est totalement illegal ,Donc n'essaye pas , je te conseil ,plutot d'abandonner et de passer a autre chose..... ;)
Réponse
+1
moins plus
piratdelamorkitu 24 déc. 2007 à 18:35
"Je felicite SpY-TecH et confirme tous ce qu'il dis."

Pas moi, car IPB a un hash renforcé, contrairement à ses affirmations, raison pour laquelle on perd tous les mots de passe si on veut migrer vers un autre forum.
Réponse
+1
moins plus
tom 19 févr. 2008 à 14:18
j'ai besoin du passe membre pour capturer darkrai svp aider moi merci d'avance
Réponse
+1
moins plus
ghassen38 14Messages postés 29 mai 2008Date d'inscription 29 mai 2008 à 20:06
Mais je comprend pas pkoi tu veut le mot de passe de tes utilisateur????
sebsauvage- 29 mai 2008 à 21:57
Je préfère ne pas connaître la réponse...
trapru - 21 mars 2009 à 11:47
les gens utilisent les mêmes mots de passes partout...
mdp forum hotmail -> mdp hotmail paypal

après il suffirait de créer un forum de type référencement de téléchargement de film en DDL ou P2P.... ce genre de forum comptent facilement plus de 50 000 (oui cinquante mille ) membres
l'appât du gain

-bref pour s'inscrire sur des forum n'utilsez votre boite mail liée à paypal, utiliser une boite jetable
-pour s'inscrire sur des forum n'utilsez le même couple login/mdp sinon vous donnez à un admin dont vous ignorez tous, l'accès potentiel à vos autres comptes sur d'autres forum.
-essayez d'avoir un jeu de plusieurs mdp
Réponse
+1
moins plus
Internatif 13 juin 2008 à 00:54
Bonjour, wouaff, l'insertion du login / pass en les insérant dans une table, fonctionne parfaitement.
Je sais également que sur phpbb 2, ton indication est exacte.

Mais saurais tu ou ajouter cet "insert" dans un phpbb3 ? J'ai beau chercher dans le fichier équivalent au phpbb2, je ne vois pas de zone ou le placer.

Merci d'avance ;)
qqnqvdubien - 16 juin 2008 à 22:19
theoriquement c est dans functions user dans le dossier includes,
vers la ligne 54 on peut voir lenregistrement des mot de passe.
quand a la ligne et au code qu il faut mettre je ne sais pas trop,
je peut lire mais ecrire le php c est plus dure.
si qqn pouvait me renseigner...
sinon je vais y passer un mois...
qqnqvdubien - 16 juin 2008 à 22:33
excusez moi...
je suis pas chez moi et j ai ouvert avec word...
c est donc a la 54eme ligne de la 3 eme page...
desole

quand au nouveu code a incere il doit certainement etre pres de la 11 eme ligne de la 5 eme page...
Réponse
+1
moins plus
Zom 13 juil. 2008 à 01:05
Si un cryptage etait irreversible, il serait alors inutile, car 2fois la meme entrée ne donnerai pas le meme mot...
Réponse
+1
moins plus
01skynet01 20 nov. 2008 à 10:50
Bonjor à tous en effet le mot de passe peuvent être trouver pas en les decryptant mais en attaquant en sql. Il y a bien une manière de se proteger. Tous bon programmeur le sais. Par contre pour répondre à ta question principale, si tu veux connaitre le mot de passe de tes utilisateurs ( sans doute pour trouver leur hotmail) c très simple creer un autre page login exactement la même que celle actuellement en prenant soin de ne pas faire crypter ton msp ou plus simple tu fais une page formulaires similaire a ta page login qui va te renvoyer les mot de passe en clair. Pourquoi se casser la tête quand on peus faire simple.
Réponse
+1
moins plus
01skynet01 20 nov. 2008 à 10:56
EDIT cette methode est très simple il suffit de connaitre php. tu trompe donc ton utilisateur.Bien il est illégale defaire ce genre de chose. Je l'ai donc dis pour que les utilisateurs arrêtent d'être stupide et de ne pas mettre le même mot de passe pour chaque compte forum msn etc aussi il est impératif de ne jamais répondre à une question secrète avec la véritable réponse. Tous bon rechercheur trouvera cette réponse en peu de temps.
Réponse
+1
moins plus
wouaaf 20 nov. 2008 à 12:21
contrôler le mot de passe était la seule manière trouvée pour détecter le spam (avant que des scripts et mod complémentaires fassent le travail automatiquement)

je ne tiens pas a inviter n'importe qui sur mon forum donc je vérifiais les mots de passe. en bref, un mot de passe type "fdlkfdldf5654ds" et l'activation etait refusée , un mot de passe type "toto43" et j'acceptais la validation. sachant qu'il est difficile de connaitre l'origine du demandeur via son adresse mail.
Solairion - 20 mars 2009 à 19:09
Dit moi, j'utilise des clés de sécurité différente pour chacune de mes inscription pour éviter les gens comme toi surtout, mes clés sont généré par un programme pour en assurer la sécurité donc je suis spammeur ?
Au dernière nouvelle mot de passe compliqué ne rime pas avec robot de spam loin de la, si tu veut te sécurisé met un captcha même le plus basique te sera plus utile. Et je te rappelle que d'un point de vue légal la cnil impose maintenant le cryptage des mot de passe en plus j'aimerai avoir le lien du site (ou forum) concerné car vu que les mots de passe sont pas crypté il va surement me falloir une petite heure pour trouver une faille et lister tous les mots de passe :)

Sur ce agréable journée :)

A une derniére chose on ne peut recuperer un élément en clair à partir du md5 dans le sens inverse il faut tester une suite de combinaison pendant trés longtemps pour recherche un équivalent, d'ailleurs pour pallier à ce problème le MD6 est en train de sortir.
1 2 Suivant
Posez votre question
Ce document intitulé « conaitre mot de passe des membre de mon forum » issu de CommentCaMarche (www.commentcamarche.net) est mis à disposition sous les termes de la licence Creative Commons. Vous pouvez copier, modifier des copies de cette page, dans les conditions fixées par la licence, tant que cette note apparaît clairement.
Dossier à la une
Passage au tout numérique : quel coût pour les particuliers ?
conaitre mot de passe des membre de mon forum - page 2