|
Свободные IT публикации
|
Пароль 1С: алгоритмы подбора пароля по хешу [1123][8] AdminITD - 2019-01-14 22:25:13 |
|
|
V82, V83, Управляемое приложение, Обычное приложение
| |
Предисловие
Во многих организациях халатно относятся к безопасности и правам доступа к данным, в связи с чем практически любой желающий (внутри компании) может получить несанкционированный доступ к БД, что способствовует возможной порче или утечке важной информации. Публикация призывает обратить внимание разработчиков систем хранения данных к безопасности доступа к данным и устойчивости этих систем к утечкам информации. А также призывает обратить внимание администраторов баз данных на сложность паролей пользователей и способы их авторизации в системе.
Хранение паролей в 1С
Пароль в 1С хранится в виде хэша, сформированного из строки пароля по алгоритму SHA-1 и упакованного по алгоритму base64.
Вид сохраняемой строки: "W6ph5Mm5Pz8GgiULbPgzG37mj9g=,ESu3kTBHkd3PaS4p/VzxSbNf6jc=".
Алгоритм получения пароля
- Найти сохранённое значение пароля для выбранного пользователя: либо из самой базы (если есть права), либо используя утилиту Tool_1CD (файловая база), либо вытягиваем данные из поля DATA таблицы V8USERS (клиент-сервер).
- Получить хэш SHA-1 пароля из левой части сохранённого значения.
- Получить пароль по хэшу с помощью утилиты перебора по маске, либо с помощью интернет-сервиса с базами готовых словарей.
Хэш пароля можно получить с помощью кода:
СохраняемоеЗначение = ПользовательИнформационнойБазы.СохраняемоеЗначениеПароля; Хэш = СтрЗаменить(Base64Значение(Лев(СохраняемоеЗначение, Найти(СохраняемоеЗначение, ",") - 1)), " ", "");
Пользователь с административным доступом в 1С может получить хэш пароля с помощью вложенной обработки "Подбор паролей пользователей":
Пользователь с доступом к файлу данных 1С (1Cv8.1CD) может получить хэш пароля с помощью программы Tool_1CD
ХЕШ пароля в программе Тоод_1СD
В клиент-серверной версии пользователь с доступом к базе SQL может получить хэш пароля с помощью программы CF & SQL
Формирование и выполнение запроса к таблице v8users
Получение хеша в окне просмотра данных пользователя
Для подбора пароля необходимо запустить обработку подбора в любой конфигурации, занести полученный ранее хеш в поле "Хеш(Base64)", и выполнить команду подбора:
Получение пароля с помощью обработки "Подбор паролей", запущенной в пустой конфигурации 1С
Кроме этого получить пароль по хешу можно попытаться с помощью интернет-сервиса восстановления пароля
● Файлы для скачивания: |  |
 |
для получения доступа требуется авторизация
размер: 170.1 кб, скачиваний: 472.
cодержимое архива: ПодборПаролейПользователей.epf - 178,8 кб.
|
[1109] publicistic (2022-09-29 23:16:45) 
Большое спасибо. Очень выручила обработочка! [1077] s10437733 (2022-08-10 21:28:25)
Огромное спасибо, низкий поклон [819] T19a79h10i04r (2021-06-03 15:03:55)
Спасибо большое, очень благодарен. Вы молодцы [48] RocketSam (2019-02-26 04:41:20)
Очень круто и полезно! Жаль только в приложении к статье другая версия обработки без кнопки "Получить SHA1-хеш". |