Pull to refresh

Изменение ролей пользователей 1С 8 (файловый вариант)

Information Security *
Предположим, что нам необходимо восстановить доступ к файловой базе данных 1С Предприятие. Как правило в таких случаях проводят некоторые манипуляции с паролями (либо брутфорсят, либо сбрасывают). Мене захотелось немного усложнить задачу и пойти другим путем — назначить обычному пользователю права администратора.

Для начала посоветую почитать о формате файла 1С. Сделать это можно здесь.

Итак, нам потребуется шестнадцатеричный редактор. Я использовал HIEW. Запускаем редактор и открываем файл 1Cv8.1CD. Переходим по смещению 0х4000 — это корневой объект конфигурации. Первые 32 байта код языка базы. Затем количество блоков(4 байта), и собственно сами адреса блоков. Начинаем искать таблицу V8USERS. У меня она была в 7 блоке, то есть со смещением 0x8E000 (00 00 00 8E 000, читаем с права налево, в конце добавляем 000).



Переходим по этому адресу и видим



Перейдя по 0x91000 видим



А уже по адресу 0x92000 находится описание таблицы. Просчитать длину полей можно как описывалось в статье которую я приводил выше, скажу только что длина записи равна 697 (0x2B9) байт, а смещение поле DATA — 678 (0x2A6) байт.
Скрытый текст
(так было на всех конфигурациях, которые я рассматривал, скорее всего так вообще в каждой конфигурации, так как V8USERS служебная таблица)

В конце описания таблицы видим три числа. Первое — адрес данных, второе — адрес Blob-данных, третье — индексы.



143 = 0x8F (адрес данных 0x8F000), 144 = 0x90 (адрес Blob-данных 0x90000).

Идем в данные. Там нас отправят в 0x193000, затем в 0x194000 (кстати, там может быть не по одному блоку как у меня, а несколько. Зависит от количества пользователей).





В вот мы в данных таблицы V8USERS. Первый блок длинной 697 байт пустой, дальше у меня шел пустой пользователь, затем пользователь Admin.
Скрытый текст
(в HIEW чтобы перейти к следующему пользователю F5, затем +2B9)




Переместимся ещё на 0x2A6 байта. Это номер блока в Blob-данных.



Далее идем в Blob-данные (0x90000). От туда переходим в 0x195000, затем в 0x196000.

Нулевой блок Blob-данных пустой (размер блока 256 (0xFF) байт, первые 4 байта адрес следующего блока, если данные не влезли в один блок, затем 2 байта — размер блока, остальное сами данные). Нам нужен второй блок.
Скрытый текст
(0x196000 + 0x100 + 0x100)




Копируем эти данные в файл (в HIEW клавиша F2) и переходим к следующему блоку.



Данные из него копируем в тот же файл.
Скрытый текст
(для HIEW не забудьте указать смещение 0xFA).


Такие же манипуляции проводим с пользователем, пароль которого мы знаем. Полученные файлы можно открыть с помощью вот этой программы (спасибо пользователю Decker за алгоритм дешифровки)

Получим два вот таких файла





В принципе можно заменить роль пользователя User на роль Admin-а. В этом случае размер записи изменится не должен, но я просто добавил пользователю админскую роль.



Дальше сохраняем в файл и с помощью редактора копируем данные в 1Cv8.1cd, в те же блоки из которых мы их взяли. Помните, что копируем мы кусочками по 250 (00-F9). Если, как в моем случае, размер данных изменился, не забываем изменить размер последнего блока. Возможно придется добавить ещё один блок, тогда нужно будет найти свободный блок и указать его номер.
Если все прошло гладко (у меня с первого раза не получилось, так-что backup, backup и еще раз backup), можно заходить с учетной записью User, она теперь с полными правами.

По такой-же методике можно получить хэш пароля пользователя, что бы его расшифровать или заменить. Вот он.



И напоследок. Прошу не считать эту статью руководством по взлому. В интернете полно информации, как изменив 2 байта получить несанкционированный доступ к данным. Это и быстрее и проще. Я же показал принцип работы с таблицами базы на низком уровне, что может пригодится при восстановлении испорченной базы.
Tags:
Hubs:
Total votes 20: ↑17 and ↓3 +14
Views 13K
Comments Comments 13