Recherche moyen de modifier identifiant de connexion [Résolu]

Signaler
-
 Lepinsec -
Bonjour,
Je rencontre des difficultés face à une action particulière.

Mon entreprise possède un site web codé en dur en 2011 avec un accès FTP classique.

Mais également la possibilité de modifier certains aspects du site, notamment ce qui concerne le contenu grâce à un back office avec accès-type : http://www.xxxx/backoffice

Là se trouve une fenêtre de log avec identifiant et mot de passe.

Suite à des problèmes de sécurité interne, j'ai besoin de modifier l'accès à ce back office.

Je ne suis pas adepte, ni à l'aise avec ce type de modification.

J'ai regardé dans le FTP des divers fichiers consultables si je pouvais retrouver une fonction dans le code-type <password> ou <login> ou même simplement l'adresse de connexion afin d'aiguiller ma recherche.


La personne ayant participé au codage du site n'est plus présente et l'agence a disparu et je me retrouve face à un problème assez compliqué à résoudre car ce n'est pas mon métier.

Est-ce qu'une personne ici présente peut m'aiguiller dans ma recherche ? Je ne sais même pas quoi chercher ni ou. C'est assez chaotique.

Merci pour votre aide.


Configuration: Windows / Chrome 89.0.4389.86

5 réponses

Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021
3 558
Bonjour,
Déjà, tu pourrais rechercher dans la base de données le nom de la table qui sert à "stocker" les identifiants (si ça utiliser un bdd bien sûr )
Si tu la trouves .. dans ce cas il faudra rechercher dans les scripts php du site les endoits ou est utilisé ce nom de table dans les requêtes SQL.

Si jamais ces identifiants ne sont pas stockés en BDD .. là .. ça voudrait dire qu'ils sont écrit en DUR dans le code ...
Tu peux regarder le formulaire de connexion du site ( en affichant le code source de la page via le navigateur )
ça te permettrait de retrouver le "name" du champ de login et le rechercher sur les scripts php du site pour voir où il se trouve.
A partir de là, il devrait être assez simple de reconstituer le fonctionnement du script et de trouver quel code (sans quel fichier) est utilisé pour faire l'authentification.

Quoi qu'il en soit, sans avoir accès aux divers fichiers de ton site on ne pourra pas t'en dire plus.
Messages postés
32153
Date d'inscription
mercredi 2 mai 2007
Statut
Modérateur
Dernière intervention
15 juin 2021
7 741
Bonjour,

Sur un site ancien avec apache en serveur web, on peut trouver une authentification, non pas gérée par le code du site, mais directement par apache, qui va autoriser/interdire l'accès à certaines pages.

En donnant le nom de la page on a une fenêtre popup "saisie utilisateur/mot de passe" qui sur erreur, si ce n'est pas personnalisé, va donner une page erreur 401.
Ex sur Edge :


Le premier niveau pour retrouver les mots de passe c'est de rechercher un fichier
.htaccess
à la racine des pages à protéger qui peut avoir les comptes ou rediriger vers un autre fichier, par exemple .htpasswd.

Après le controle d'accès peut être géré par le code (php, ...), comptes directement dans le source, ou comptes stockées dans une base de données (mysql, ...).



Merci pour votre aide.
Grace à votre réponse, j'ai pu trouver un repertoire nommer :
backoffice

avec un fichier /htpasswd. A l'ouverture surprise ce qui est indiqué à l'intérieur de ce fichier ne correspond pas au mot de passe actuel.
Il y a l'air d'avoir qu'un quel fichier de ce type dans mon ftp.
Est ce que je modifie le fichier à l'intérieur tout de même et je vois ce qui se passe ?

Avez-vous une idée du problème ?
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021
3 558
Comment se présente la fenêtre qui te permet de tout en Tissier lorsque tu vas sur le site ?
Est-ce que ça ressemble est-ce que jeepee t'a proposé ?
Si ce n'est pas le cas ça doit être géré au niveau du code PHP...
Qu'as-tu comme nom de fichier dans l' url lorsque tu vas sur le sur le site back office ?
Tu as tu as la racine du FTP dans le répertoire back-office un fichier nommé index.php où d'autres fichiers PHP ?
Messages postés
16017
Date d'inscription
lundi 9 juin 2008
Statut
Contributeur
Dernière intervention
14 juin 2021
867
bonjour,
les noms d'utilisateurs correspondent-ils dans le fichier htaccess?
il me semble normal que les mots de passe ne correspondent pas, ils sont sans doute hashés dans le fichier.
Messages postés
16017
Date d'inscription
lundi 9 juin 2008
Statut
Contributeur
Dernière intervention
14 juin 2021
867 >
Messages postés
16017
Date d'inscription
lundi 9 juin 2008
Statut
Contributeur
Dernière intervention
14 juin 2021

as-tu expliqué ce que tu voulais changer, pour obtenir quoi?
j'ai lu "j'ai besoin de modifier l'accès à ce back office".
>
Messages postés
16017
Date d'inscription
lundi 9 juin 2008
Statut
Contributeur
Dernière intervention
14 juin 2021

Bonjour,
Merci pour votre retour. J'ai besoin de modifier le mot de passe de connexion à ce BO tout simplement.
Pardon je n'ai pas répondu à cette question.
En effet cela se présente comme sur le post précédent, même type de fenêtre de connexion.
L'URL de connexion est xxx/backoffice
J'ai bien dans la racine du FTP du repertoire cette index et d'autre fichier php.
Je sais les lire de manière partiel avec notepad mais j'ai pas de connaisance pour les modifier à part ce qui est très basique comme la taille / couleur / police d'écriture ce type de modification simple.
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021
3 558
>
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021

Oui cela correspond
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021
3 558 > Lepinsec
Donc c'est bien ce fichier qu'il faut modifier.
tu trouveras sans mal des tutoriels à ce sujet sur Internet ainsi que des endroits pour pouvoir haché (crypter) le mot de passe.

Nb: au final, aucun lien avec le langage PHP.
>
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021

Ok je te remercie.
Je vais faire mes propres recherche dans ce cas de figure.

Merci pour votre aide.
Messages postés
32958
Date d'inscription
mercredi 22 octobre 2003
Statut
Modérateur
Dernière intervention
14 juin 2021
3 558 > Lepinsec
Merci c'est bon j'ai réussi ce que je voulais faire grace à vous.