set2333 Dec 25 2014 at 12:17

Изменение ролей пользователей 1С 8 (файловый вариант)

3 min

13K

Information Security*

+14

Comments 13

felicast Dec 25 2014 at 12:29

а не проще было хэш пароля от пользователя вставить за место хеша админа?

set2333 Dec 25 2014 at 12:36

Проще. Но хотелось показать работу с ролями пользователей. В подобных ситуациях всегда нападают на пароль, хотелось чего-то альтернативного. Кстати, подобным образом можно сделать админа — неадмином.

Kpblc Dec 25 2014 at 14:41

По моему аналогично ещё базы с 1C v8.0 вскрывались…

-2

Korym Dec 25 2014 at 16:09

А не проще просто сбросить пароли? center-comptech.ru/pass_hack_1c_8.html

Korym Dec 25 2014 at 16:49

Прошу прощения не прочитал в конце, вот этот блок «И напоследок. Прошу не считать эту статью руководством по взлому. В интернете полно информации, как изменив 2 байта получить несанкционированный доступ к данным. Это и быстрее и проще. Я же показал принцип работы с таблицами базы на низком уровне, что может пригодится при восстановлении испорченной базы.». «Небольшая вводная: системный администратор уволился, пароль не оставил. Изменения в законодательстве, необходимо обновить 1С» думаю лучше убрать и добавить «Мне стало интересно и я решил попробовать изменить роль пользователя». Сейчас прочитав заголовок и вводную не совсем понятен почему именно этот способ выбран, и думаю мало кто дочитал до конца. И воспринимается информация как усложнение решение задачи. А по поводу статьи, довольно хорошо написано, но не подойдет когда в базе один пользователь и от него потеряли пароль.

set2333 Dec 25 2014 at 17:05

Спасибо за замечание, действительно начало статьи не очень сочетается с её основной мыслью. Поправил. А если пользователь один, то да. Замена ролей не поможет. Но можно заменить хэш. Все делается аналогично.

Necropunk Dec 26 2014 at 10:23

Интересно бы протестить алгоритм на самописной конфигурации. У меня в одной конфе пользователь Гуру, а Полные права называются Нирвана, в дереве метаданных идут не по порядку, в списке пользователей тоже. Если, например, порядок ролей и пользователей в базе неизвестен, алгоритм же не сработает или я чего-то не понимаю?

Necropunk Dec 26 2014 at 10:23

То есть, вопрос такой «Как в НЕХ-редакторе определить самые полные права?».

set2333 Dec 26 2014 at 11:43

Глубоко данный вопрос не изучал, так что так с лету не скажу как узнать какие полномочия у какой роли. В моем варианте придется составить список ролей пользователей, сопоставить их и посмотреть, каких ролей не хватает ограниченному пользователю. После можно ему их добавить. В принципе, если интересно, могу продолжить исследование в данном направлении, результатом которого может стать ещё одна публикация. Если тема интересна — пишите.

dance000 Dec 26 2014 at 13:56

Может просто добавить пользователю все типы ролей?
Хотя конечно в случае с самописками, там это может только навредить!)

set2333 Dec 26 2014 at 14:10

Можно и все роли добавить. По поводу навредить — такие манипуляции предполагают высокую степень риска. Велик шанс записать данные не с тем смещением и много другое. Думаю риск, что при установки всех ролей, что-то пойдет не так, минимален.

Dementor Dec 28 2014 at 17:32

Думаю риск, что при установки всех ролей, что-то пойдет не так, минимален

Если роль создана под внешнее подключение каким-то скриптом, то её добавление приведет к невозможности зайти в систему интерактивно. И не только в самописках, в доработанных типовых такие тоже встречаются — проверка при входе на наличие определенного типа ролей и «давай, до свиданья».

EvilBeaver Dec 30 2014 at 09:47

Блин, все уже украдено до вас.
infostart.ru/public/237192/
infostart.ru/public/187832/
infostart.ru/public/19734/

-1

Show the best of all time