Comment changer les mots de passe cryptés

jnb130

April 2009

Bonjour, j’ai un grand nombre d’auteurs à insérer dans la table spip_auteur, et j’ai fais une requête pour cela.
Mon problème c’est que dans spip_auteur, le champ "pass" est crypté. Dans ma requête mes mots de passe sont du style "031884" alors que dans spip_auteur les mots de passe sont du style "71d715707da2c714059e8428b0cf35ec".

Donc quand je fais ma requête, elle s’exécute bien, mais pour me connecter je suis coincé car spip ne reconnais pas mon mot de passe.
Quelqu’un peut-il m’aider à trouver une solution? Merci.

Résolu

Par note nach Datum Par date chronologique

Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

1

6ril

Februar 2016

Et si on veut conserver les alea qui servent de grain de sel, on peut regarder le fichier prive/javascript/login.js pour voir comment s’en servir.
Dans ce js, la ligne 36 donne la réponse:
hash = hex_sha256(login_info.alea_actuel + pass);
Le champs pass de la table spip_auteur est donc le résultat d’un cryptage hex-sha256 de la concaténation de la chaine de caractère suivante: alea_actuel + mot de passe.

Donc, pour illustrer, soit un alea de valeur ’194218430856b9a231e162d5.57308756’ (pris ici au hasard pour l’exemple) et un mot de passe de valeur "mdpmdp", on peut l’injecter en mysql comme ceci (ici pour un auteur d’id=1):

UPDATE SET =SHA2(CONCAT( "194218430856b9a231e162d5.57308756", "mdpmdp" ) , 256), ="194218430856b9a231e162d5.57308756", ="194218430856b9a231e162d5.57308756" where = 1;
Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

$quirrel

April 2009

Bonjour,

Peux tu transmettre en exemple de ta requête ? (avec les balises code)
squirrel !

jnb130

April 2009

Merci de bien vouloir m’aider :)

Voici la requête :

UPDATE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>  	
SET <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+cGFzczwvY29kZT4="></span> = 	( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+UFc8L2NvZGU+"></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>)
WHERE EXISTS
  ( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+UFc8L2NvZGU+"></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>);

La requête fonctionne bien, j’ai bien mes nouveaux mots de passe dans la table "spip_auteur", mais le problème c’est qu’ils ne sont pas cryptés (ou transformé en chaine de caractère plus longue), ils sont de la forme "031884" alors que spip a besoin de les avoir sous la forme "71d715707da2c714059e8428b0cf35ec".

Lorsque je vais dans "Modifier cet auteur", "nouveau mot de passe" et que je met "031755", spip sauvegarde dans la table "spip_auteur" la valeur "e2fc62054f463360d40cf1c327abfe86" donc spip à crypté la mot de passe.

Comment faire pour crypté les mots de passe à la spip?

jnb130

April 2009

Merci de bien vouloir m’aider :)

Voici la requête :

UPDATE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>  	
SET <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+cGFzczwvY29kZT4="></span> = 	( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+UFc8L2NvZGU+"></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>)
WHERE EXISTS
  ( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+UFc8L2NvZGU+"></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3NzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>);

Comment faire pour crypté les mots de passe à la spip?

Je viens de trouver une info, spip code les mots de pass en "cryptage md5"
Donc il me faudrais un moyen de crypter facilement mes 4000 mots de passe en md5. J’ai trouvé le site clicasso.fr qui crypte un mot à la fois, comment faire pour 4000!

Merci!

Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

jnb130

April 2009

Bon ben j’ai trouvé une solution!

en PHP, je parcours tous les mots de passe et je crypte en md5 avec la commande :

$newmotdepasse = md5($motdepasse);

Et après je vais un update.

Voila, je ne sais pas si il y avait une solution entièrement sql mais bon, j’ai résolu mon problème. :)

jnb130

April 2009

Juste une dernière précision! Une fois le nouveau mot de passe stocké dans la table "spip_auteur" (au format MD5) il faut vider les deux champs "alea_actuel" et "alea_futur". Sinon la reconnaissance du mot de passe échoue.

Voila, je vous redonne ma nouvelle requête :

UPDATE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>         
SET <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+YWxlYV9hY3R1ZWw8L2NvZGU+"></span> = '', <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+YWxlYV9mdXR1cjwvY29kZT4="></span> = '', <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+cGFzczwvY29kZT4="></span> = ( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+TUQ1PC9jb2RlPg=="></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>)
WHERE EXISTS ( SELECT <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+UFc8L2NvZGU+"></span>
FROM <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>
WHERE <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+dXNlcnBhc3MyPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+VVNFUjwvY29kZT4="></span> = <span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+c3BpcF9hdXRldXJzPC9jb2RlPg=="></span>.<span class="base64" title="PGNvZGUgY2xhc3M9InNwaXBfY29kZSBzcGlwX2NvZGVfaW5saW5lIiBkaXI9Imx0ciI+bG9naW48L2NvZGU+"></span>)

Et pour convertir les mot de passe en MD5 je me suis fait une page php :

<?php
require ("Lib/config.php");
mysql_connect($serveur, $user, $password);
mysql_select_db($bdd);


$reponse = mysql_query("SELECT * FROM $nom_table_USERPASS WHERE PW != '';");

while($data = mysql_fetch_assoc($reponse))
{
	$mot = $data['PW']; 

	if ($mot != "") {
		$newmot = md5($mot); // on crypte en md5

		// enfin on modifie le champs et on le remplace par sa valeur md5
		$req2 = mysql_query("UPDATE $nom_table_USERPASS SET MD5 = '$newmot' WHERE PW = '$mot'");

	}

}
mysql_close(); 

?>

Dans mon cas je me suis ajouté une colonne MD5 pour ne pas perdre définitivement les mots de passe originaux. Et j’avais des mots de passe vide, donc j’ai testé la valeur avant de crypter md5.

Voila, je ne sais pas si cela servira à quelqu’un d’autre, mais j’ai vu dans le forum, que des personnes avaient eu le même problème.

Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

POLAK

Oktober 2009

Merci, c’est cool d’avoir planché la dessus.
Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

Mai 2012

Bonjour,

ce truc m’a fait perdre beaucoup trop de temps
je vous ai concocté une requete qui modifie le mot de passe

nom de connexion Admin
mot de passe polopolo

update spip_auteurs
set alea_actuel = ’4676591144fa7e6e5961627.15077641’
, alea_futur = ’9356151084fa7e6e59616d0.41437851’
, pass = ’351d9a2b53b405c06811cf3f6cf3377b’
where login = ’Admin’

Voila au moins pour la version SPIP 1.9.2i
Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

vfavrat

Februar 2016

Un grand merci pour ce post qui m’a permis de rapidement remettre un mot de passe à chacun suite au passage d’un site avec LDAP à un site sans.
Par exemple la requête
UPDATE <code class="spip_code spip_code_inline" dir="ltr">spip_auteurs</code> SET <code class="spip_code spip_code_inline" dir="ltr">pass</code> = md5(<code class="spip_code spip_code_inline" dir="ltr">login</code>), <code class="spip_code spip_code_inline" dir="ltr">alea_actuel</code> ="", <code class="spip_code spip_code_inline" dir="ltr">alea_futur</code>="" where <code class="spip_code spip_code_inline" dir="ltr">webmestre</code> = "non";
m’a permis de changer de façon temporaire les mdp des auteurs qui ne pouvaient plus se connecter du tout après le changement de serveur et l’abandon du LDAP, sans toutefois inscrire les mdp en clair dans la base de données.
Bitte teilen Sie uns mit, ob die Antwort für Sie von Interesse war.

0

6ril

Februar 2016

Et pour spip 3.1, c’est sha-256 qui est utilisé, donc pour un auteur d’id=1, si on veut lui coller ’test’ en mot de passe:

UPDATE SET =SHA2('test', 256), ="", ="" where = 1;