Los scripts creados con PHP (joomla, mambo, wordpress… etc) suelen incluir una función para recuperar claves cuando hemos olvidado dicha clave. Para ello suelen contar con un enlace de tipo “olvidó su clave?” que, al pulsarse, nos lleva a un formulario que suele pedir la dirección de correo del usuario en cuestión, de tal modo que éste recibe un enlace o una nueva clave en su buzón, permitiendo su reingreso en el sistema.

El monitor anti inyección de PHP y SQL Crawltrack es un sistema muy potente que añade seguridad a los scripts instalados en nuestro servidor de hosting, de modo que se minimiza la posibilidad de hackeo por inyección de código en nuestro sistema. Este monitor no cuenta, por seguridad, con ningún sistema de envío de clave en caso de olvidó, con lo que se nos obliga a realizar una nueva instalación del mismo o proceder a ingresar una clave utilizando PHPMyAdmin, Workbench o directamente por línea de comandos de MySQL si tenemos acceso SSH al servidor de hosting.

Función PASSWORD();

El uso de la funcion PASSWORD(); de MySQL nos va a permitir crear claves cifradas a partir de texto plano de un modo muy sencillo. Estas claves se pueden volcar sobre los usuarios que tengamos registrados en las tablas de Crawltrack, de tal modo que nos podemos saltar la autenticación de este script de monitorización anti inyección PHP/SQL.

La función PASSWORD(); se llama desde la línea de comandos de Mysql una vez que accedemos al servidor usando el comando:

mysql -u usuario -p -h servidor

Donde “usuario” es el nombre de usuario administrador de la base de datos que aloja los registros de Crawltrack, “-p” solicita la clave de ese usuario y “servidor” es el host que aloja las bases de datos (podemos indicar un nombre de host o una IP).

Una vez conectados al servicio “mysqld”, podemos ejecutar la función para obtener distintas claves cifradas:

select password("password");

mysql> select password("password");
+-------------------------------------------+
| password("password")                      |
+-------------------------------------------+
| *2470C0C06DEE42FD1618BB99005ADCA2EC9D1E19 |
+-------------------------------------------+
1 row in set (0.00 sec)

La clave cifrada obtenida nos sirve para copiarla en la tabla “crawlp_login”, sustituyendo la clave anterior del usuario administrador que utilicemos para acceder al script vía web y conseguir acceso.

No tengo a mano la captura de pantalla para mostraros el lugar exacto donde copiar la clave cifrada usando PHPMyAdmin, pero no os resultará difícil ya que suele PHPMyAdmin estar incluido en la mayoría de los hostings. Este software os muestra todas las bases de datos con sus tablas, lo que os permite acceder a los registros directamente y modificar lo que os interese.

A %d blogueros les gusta esto: