Winhttp Login mit md5?

1. offizieller Beitrag

    Hallo erst mal, ich hab mich angemeldet um gleich mal dreister weise nach eurer hilfe zu fragen :D

    um gleich mal alle zweifel auszuräumen, was ich mache wird kein Bot vor allem nicht für ein spiel oder sonst was. Es geht um ein Programm mit dem ich bequem in einem Forum meine Beiträge pushen kann, ohne jeden einzeln aufzurufen und eine Nachricht reinzuschreiben. Natürlich werd ich mich auch an die vom Forum vorgegeben Pushzeiten halten und nicht spammen.
    Das ganze mache ich über winhttp, wo ich noch recht am anfang des lernprozesses stehe.
    Nun zu meinem Problem: Der Loginname wird ganz normal übergeben aber das Passwort erscheint nicht in dem header den ich mit sende
    Im erweiterten header von Mozillas Live HTTP Headers kommt "Content-Type: application/x-www-form-urlencoded" falls das eine Hilfe ist.
    Hier meine Codezeile

    Spoiler anzeigen

    $html = _winhttpsimplerequest($connection, "POST", "forum/login.php?do=login","forum/login.php", "vb_login_username=c0w&vb_login_password=&cookieuser=1&s=&securitytoken=guest&do=login&vb_login_md5password=hashblabla&vb_login_md5password_utf=nochmehrblub")


    anhand des md5password teils des headers gehe ich davon aus, dass das passwort bevor es gesendet wird noch verschlüsselt wurde. (richtig?)
    nun wollte ich fragen: Ist es mir möglich das Passwort zu verschlüsseln so dass ich es auch richtig in den Header einfügen kann? Oder gibts es eine andere Möglichkeit das mit winhttp zu senden? Ich möchte das Programm auch an andere weitergeben, ohne dass sie sich diesen Header raussuche müssen.

    mfg c0w

    Einmal editiert, zuletzt von c0w (26. Juli 2013 um 22:28)

    • Offizieller Beitrag

    Ich gebe das Thema mal frei - ABER:
    • Ob auf diese Art und Weise Zugriffe auf ein Forum zulässig sind, wird der Forenbetreiber festgelegt haben.
    • Ich denke in der Mehrzahl wird dieses nicht gewünscht und somit in den AGB/Forenregeln entsprechend vermerkt sein.
    • Alle Foren leben davon, dass User aktiv am Forengeschehen teilnehmen und nicht ihre Aktivitäten auf Skripte übertragen.
    • Pushen ist ein Reizwort, mit dem du bei uns so richtig auf die Nase fällst. Es ist eine absolute Unsitte und in einem aktiven Forum (wie z.B. dem unsrigen) auch völlig unnötig! Ein Thema wird schlicht und einfach dann nicht beantwortet, wenn sich niemand findet, der eine Antwort parat hat.

    Ergo: Ich möchte wissen, für welches Forum dieses gedacht ist und ob der Forenbetreiber ein AutoPushen erlaubt!
    Ansonsten hätten wir hier einen Verstoß gegen die Forenregeln und dann mach ich das Thema dicht.

    Aber ich verstehe trotzdem nicht wozu es diesen Thread braucht. Wo ist das Problem bei google "autoit md5" oder "autoit md5 UDF" einzugeben, da sollten sich etliche Scripte finden um md5 hashes zu generieren. Ich würde außerdem testen was passiert wenn du die Parameter für die md5 hashes einfach weglässt, also ein unvollständiger POST, wie hier:

    [autoit]


    $html = _winhttpsimplerequest($connection, "POST", "forum/login.php?do=login","forum/login.php", "vb_login_username=c0w&vb_login_password=DEINPW&cookieuser=1&s=&securitytoken=guest&do=login")

    [/autoit]

    Je nach PW ist es evtl auch notwendig die Werte der Parameter vorher noch nach URL encoded zu wandeln, damit es keine Syntax Kolisionen gibt.

    Das Problem könnte sein, das es sich hier nicht um einen simplen md5 hash handelt sondern um einen salted oder double salted hash. Aber dafur müsste man dann schon wissen, für welches Forum das Ganze gedacht ist.

    Allein schon um den Forenregeln gerecht zu werden.

    Es ist für e*pvp, wenn ich es mal sagen darf.
    (Ist 'ne Vermutung, bin mir aber zu 100% sicher :D)

    vb_login_username=c0w&vb_login_password
    Das "vb" steht in diesem Fall für vBulletin®.
    Und es gibt auch ein Profil namens c0w

    Ob sowas erlaubt ist --> weiß ich nicht, müsste man die FAQ durchlesen.

    MfG

    There's a joke that C has the speed and efficieny of assembly language combined with readability of....assembly language. In other words, it's just a glorified assembly language. - Teh Interwebz

    C makes it easy to shoot yourself in the foot; C++ makes it harder, but when you do, you blow off your whole leg. - Bjarne Stroustrup
    Genie zu sein, bedeutet für mich, alles zu tun, was ich will. - Klaus Kinski

    also es geht im speziellen um die trading area, da ist ein einem forum threadpushing alle 4 stunden erlaubt, ist auch ganz normale regel. in einem anderen alle 24h, wie sich das mit dem pushen von "normalen" diskussionsbeiträgen verhält kann ich nicht sicher sagen, da mache ich das aber auch nicht. wäre auch unnütz. forum stimmt ja. speziell gesehen habe ich dieses problem schon umgangen, von einer anderen seite aus werden keine md5 passwörter gemacht sondern nur ein normaler login header.
    ich glaube der teil der mit md5 zu tun hat ist wohl für admins etc., aber rein interesse halber möchte ich schon wissen wie ich mein eingegebenes passwort in ein md5 wandle. ich ahb schon bisl rumgegoogelt aber wirklich schlau bin ich daraus nicht geworden. bindet man irgendwie eine dll ein und benutzt diese im script dann um ein wort zu verschlüsseln? oder wie würde sowas aussehen

    Also erstens : Du willst uns doch jetzt nicht etwa erzählen, das du dich mit einem Klartext Passwort auf der Seite anmelden konntest.

    Zwetens: Die Login Prozedur für ein vb Board habe ich hier schon irgendwo mal in einem H&Ü Thread erstellt. Die Forensuche sollte helfen.

    Zitat von i2c

    Also erstens : Du willst uns doch jetzt nicht etwa erzählen, das du dich mit einem Klartext Passwort auf der Seite anmelden konntest.

    Zwetens: Die Login Prozedur für ein vb Board habe ich hier schon irgendwo mal in einem H&Ü Thread erstellt. Die Forensuche sollte helfen.


    doch das möchte ich tatsächlich behaupten, bist herzlich eingeladen es selbst auszuprobieren.
    code sieht so aus:

    [autoit]

    $html = _winhttpsimplerequest($connection, "POST", "forum/login.php?do=login", "", "vb_login_username=USERNAME&vb_login_password=USERPASSWORT&cookieuser=1&s=&securitytoken=1374823553-210a8cd969f46bba65ff3e961ea6ca739fa2d131&do=login&vb_login_md5password=&vb_login_md5password_utf=")

    [/autoit]

    token scheint sich nicht zu ändern weil ich mich mit dieser funktion jetz schon einige male erfolgreich eingelogt habe. wie gesagt die anderen vb login mit md5 bleiben leer, sind hidden textboxen. wofür die sind weiß ich eigentlich nicht. deswegen ist das problem generell geklärt nur interessiert mich die thematik auch einfach wie man sowas angeht. falls ich es doch mal brauche. ich werde die sufu nochmal mit deinen stichwörtern traktieren.

    Nun gut. Da wurde bereits der Token bezogen und Cookies gesetzt. Von daher ist das mehr oder weniger ein "ich bin noch da" als ein echter login.

    Ich schau vieleicht nachher nochmal, ob ich die login Klasse des vb finde. Oder den alten Thread.

    Zitat von c0w

    also es geht im speziellen um die trading area, da ist ein einem forum threadpushing alle 4 stunden erlaubt, ist auch ganz normale regel. in einem anderen alle 24h, wie sich das mit dem pushen von "normalen" diskussionsbeiträgen verhält kann ich nicht sicher sagen, da mache ich das aber auch nicht. wäre auch unnütz. forum stimmt ja. speziell gesehen habe ich dieses problem schon umgangen, von einer anderen seite aus werden keine md5 passwörter gemacht sondern nur ein normaler login header.
    ich glaube der teil der mit md5 zu tun hat ist wohl für admins etc., aber rein interesse halber möchte ich schon wissen wie ich mein eingegebenes passwort in ein md5 wandle. ich ahb schon bisl rumgegoogelt aber wirklich schlau bin ich daraus nicht geworden. bindet man irgendwie eine dll ein und benutzt diese im script dann um ein wort zu verschlüsseln? oder wie würde sowas aussehen

    Da ich dort Moderator bin hab ich schon öfter gefragt bekommen ob sowas dort erlaubt ist:
    Die Administration möchte nicht das User ihre Beiträge automatisiert im Forum ausgeben, Bots für sowas gab es schon oft und
    wurden bis jetzt aber immer kommentarlos gelöscht
    Sanktionen und Forensperren inklusive

    btw. Pushen außerhalb des Handelsbereiches ist dort nicht erlaubt, meistens drücken Moderatoren aber mal ein Auge zu wenn du nach einer Woche immernoch keine Antwort bekommen hast - so am Rande