[Samba-it] crackcheck e caratteri particolari
simo
simo.sorce at xsec.it
Fri Nov 20 07:20:09 MST 2009
On Fri, 2009-11-20 at 14:48 +0100, Maurizio Marini wrote:
> On Friday 20 November 2009, Marco Gaiarin wrote:
> > Mandi! Maurizio Marini
> > In chel di` si favelave...
> >
> > > Evidentemente la password viene passata in pipe ma non e' escaped;
> >
> > ...in pipe l'escaping non dovrebbe servire... sicoro che il tuo script
> > non faccia lui qualche operazione con la password non 'escapata'?
> >
> Grazie Marco e Simo,
> ma forse non mi sono espresso bene oppure continuo a non capire.
>
> Per chiarire, ecco l'esempio:
> passo tramite | la password Trust01 al mio xcrackcheck
>
> echo -n Trust01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
> ERR password relativamente corta
>
> poi gli passo Trus&t01
> echo -n Trus&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
> [1] 3085
> Trus-bash: t01: command not found
> ERR - Failed to read password
A Maurí!
Se lo fai in shell ci credo che & viene interpretato dalla shell, ma che
c'entra ? Viene interpretato prima ancora che il comando xcrackcheck
venga preso in considerazione.
Prova questo invece:
./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 << EOF
Trus&t01
EOF
Vedrai che non c'é nessun problema a mandare una stringa senza escaping.
> [1]+ Done echo -n Trus
>
>
> lui ha mandato in background Trus
>
>
> adesso escapo l'& (scusate il pessimo italiano)
> echo -n Trus\&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
Qui stai solo facendo escaping perché la shell non intepreti l'&
fai echo -n Trus\&t01 > /tmp/pw
e vedi che cosa ci trovi dentro (risposta: la stringa senza escaping),
ecco quello é ció che arriva ad xcrackcheck.
> siccome xcrackcheck (e' un rifacimento del crackcheck disponibile in pam) lo chiamo anche da paginetta php,
> mi sono accorto del problema e ho contornato $_POST['newpassword'] con i doppi apici:
>
> [code]
> syslog(LOG_WARNING, 'controlliamo se la password rispetta i vincoli imposti' );
> $result = shell_exec('echo -n "' . $_POST['newpassword'] .
> '" | /usr/local/sbin/xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 2>&1' );
> [/code]
>
> ma per il cambio password da alt-control-canc credo che resti il problema.
> Ieri mi hanno segnalato che una password contenente & non era stata cambiata
> e mi si e' innescato il problema
Nn dovrebbe essere correlato con problemi di escaping, probabilmente é
qualcos'altro, per esempio che charset usi ?
Simo.
More information about the samba-it
mailing list