[Samba-it] crackcheck e caratteri particolari

simo simo.sorce at xsec.it
Fri Nov 20 07:20:09 MST 2009 

On Fri, 2009-11-20 at 14:48 +0100, Maurizio Marini wrote:
> On Friday 20 November 2009, Marco Gaiarin wrote:
> > Mandi! Maurizio Marini
> >   In chel di` si favelave...
> > 
> > > Evidentemente la password viene passata in pipe ma non e' escaped;
> > 
> > ...in pipe l'escaping non dovrebbe servire... sicoro che il tuo script
> > non faccia lui qualche operazione con la password non 'escapata'?
> > 
> Grazie Marco e Simo,
> ma forse non mi sono espresso bene oppure continuo a non capire.
> 
> Per chiarire, ecco l'esempio:
> passo tramite | la password Trust01 al mio xcrackcheck
> 
> echo -n Trust01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
> ERR password relativamente corta
> 
> poi gli passo Trus&t01
> echo -n Trus&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1
> [1] 3085
> Trus-bash: t01: command not found
> ERR - Failed to read password

A Maurí!
Se lo fai in shell ci credo che & viene interpretato dalla shell, ma che
c'entra ? Viene interpretato prima ancora che il comando xcrackcheck
venga preso in considerazione.

Prova questo invece:

./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 << EOF
Trus&t01
EOF

Vedrai che non c'é nessun problema a mandare una stringa senza escaping.

> [1]+  Done                    echo -n Trus
> 
> 
> lui ha mandato in background Trus
> 
> 
> adesso escapo l'& (scusate il pessimo italiano)
> echo -n Trus\&t01|./xcrackcheck minlen=8 dcredit=-1 ucredit=-1 lcredit=-1

Qui stai solo facendo escaping perché la shell non intepreti l'&

fai echo -n Trus\&t01 > /tmp/pw

e vedi che cosa ci trovi dentro (risposta: la stringa senza escaping),
ecco quello é ció che arriva ad xcrackcheck.

> siccome xcrackcheck (e' un rifacimento del crackcheck disponibile in pam) lo chiamo anche da paginetta php, 
> mi sono accorto del problema e ho contornato $_POST['newpassword'] con i doppi apici:
> 
> [code]
>                         syslog(LOG_WARNING,  'controlliamo se la password rispetta i vincoli imposti' );
>                                 $result = shell_exec('echo -n "' . $_POST['newpassword'] .
>                                                 '" | /usr/local/sbin/xcrackcheck  minlen=8 dcredit=-1 ucredit=-1 lcredit=-1 2>&1' );
> [/code]
> 
> ma per il cambio password da alt-control-canc credo che resti il problema.
> Ieri mi hanno segnalato che una password contenente & non era stata cambiata
> e mi si e' innescato il problema

Nn dovrebbe essere correlato con problemi di escaping, probabilmente é
qualcos'altro, per esempio che charset usi ?

Simo.

More information about the samba-it mailing list