Dienstag, 20. Juli 2010

Passwörter "entschlüsseln" - password deobfuscation

Passwörter werden bei OpenRG nicht im Klartext in der Konfiguration abgelegt sondern "verschleiert" (obfuscated/obscured).
Man auch kann selbst diese Art von Einträgen machen:

zB.
CLI
conf
set_obscure /admin/user/0/password daspasswort

print zeigt den Eintrag dann an:
print /admin/user/0/password
(password(&ba;Ub&c0;&95;&1d;b&e2;&c4;&bd;w))


Folgende Tools können obscured Einträge wieder in Klartext verwandeln.
Zibri's Tool in Javascript (online)
openrg-decrypt.py in Python

Neben den User Passwörtern ist das auch beim Passwort für die Internet Verbindung recht praktisch.
print /dev/ppp0/password

Noch ein Satz dazu: Es handelt sich dabei um keine Sicherheitslücke weil man ohnehin schon Admin Rechte haben muss um die Konfiguration anzuzeigen.

0 Kommentare:

Kommentar veröffentlichen