Взлом пароля черз БД, хэш-пароля?

Question

[I.CaR Soft]

Есть два братских сайта на Yii2. В одном у меня полный доступ, во втором... человек уволился и всё.
1. Плавал, знаем - думал скопирую зашифрованный свой пароль в тот проект и вуаля... НО!
Но в первом (донор) структура: [username] - [password(шифрованный)]
Во втором (реципиент): [username] - [password_hash] - [auth_key] - [confirmation_token]
И всё... Весь мой демятилетней давности опыт "взлома" пошёл лесом.
Как быть? Пока что создал пустого юзера, но ведь знаю, что хэш дешифровать не представляется возможным.

Comments

[AUser0]

Ну так и скопируйте на реципиенте пароль из нового пользователя существующему пользователю, которого надо "взломать".

[Ivan Ustûžanin]

причём копировать желательно всё кроме username, т.к. auth_key может быть, например, солью

Answer 1

[Александр Макаров]

1. password_hash — это bcrypt формат. Если есть доступ к базе, то делаете нового юзера с паролем, забираете его хеш и просто перетираете им password_hash в базе у нужного юзера.
2. auth_key — это не релевантно.
3. confirmation_token — это не релевантно.

Comments

[Глеб Старков]

О, а почему Вы не "Куратор тега YII"?
Это же сам Александр Макаров!

[Александр Макаров]

Глеб Старков, что за "куратор"? :)

[Глеб Старков]

Александр Макаров,

[I.CaR Soft]

Очень благодарю вас! Но до решения дошёл сам через вот Bcrypt Hash Generator.
Запрос "зашифровать CRYPT(3X) онлайн" вывел на Bcrypt Hash Generator.
Далее уже там увидел схожесть генерируемых хэшов с хэшом от суперадмина.
А далее, как и вы написали.

Answer 2

[I.CaR Soft]

[РЕШЕНО!]
через Bcrypt Hash Generator.
Полезный опыт в копилку.

Answer 3

[CityCat4]

Создаете юзера с известным паролем. Потом полученный хэш тупо вписываете нужному юзеру. Были времена, пароль рута некоего сервера mysql так ломал...