вторник, 24 декабря 2013 г.

Восстановление / сброс утраченного пароля в 1С 8.2


Про восстановление (сброс) утраченного пароля для входа в конфигурацию 1С:Предприятие 8.2 в интернете написано немало. Простой поиск в Яндексе выдает тысячи ссылок, по которым обещается гарантированный сброс пароля, или же вообще вход в базу без пароля. Большинство из описанных способов сводятся к редактированию файла базы данных *.1CD в HEX редакторе и замене имени таблицы users.usr / v8users на любое другое. В результате чего, при запуске в 1С данной конфигурации платформа считает что список пользователей базы не определен и позволяет зайти в базу без пароля. Однако, при этом теряется ваш список пользователей. Что же делать, если есть БД 1С Предприятия и необходимо восстановить (или же "обнулить" пароль забывчивого пользователя). Для начала приведем несколько полезных ссылок, в том числе и на наши статьи:

Если кто-то был внимателен, то заметил выделенную жирным фразу. Теперь замечательная утилита Tool_1CD от awa позволяет редактировать 1CD. Чем мы непременно воспользуемся при восстановлении паролей. Допустим, что у нас есть база с тремя пользователями: Бухгалтер, Директор и Менеджер. Откроем ее при помощи Tool_1CD:


Как мы видим, утилита расшифровала BLOB поле DATA в таблице v8users и показала нам SHA1 хеш пароля пользователя Директор в base64-виде - QL0AFWMIX8NRZTKeof9cXsvbvu8= (естественно, вы можете попытаться расшифровать его с помощью любого сервиса подбора sha1 хещей, для данного примера сделать это крайне легко, т.к. он тестовый). Представим себе, что сделать этого нам не удалось, однако нам необходимо обеспечить пользователю Директор доступ к базе, например, с пустым паролем с возможностью последующей его смены. Делаем следующее, включаем режим редактирования таблиц:


Сохраняем содержимое поля DATA в файл. В рассматриваемом примере он будет носить имя 0ed3bc84-7a1d-4f3b-8142-47c77c02f5c5_DATA:


После чего мы можем отредактировать его в обычном блокноте:


Вспоминаем, что SHA1 хеш пустой строки - это da39a3ee5e6b4b0d3255bfef95601890afd80709 или же 2jmj7l5rSw0yVb/vlWAYkK/YBwk= , заменим в полученном файле хеш пароля пользователя на хеш пустой строки и загрузим его в базу подтвердив изменения при сохранении. В результате у нас получится что-то вроде:


Таким образом, используя только утилиту Tool_1CD с возможностью редактирования нам удалось сбросить (обнулить) забытый пароль пользователя 1С 8.2.

p.s. Данный вариант далеко не единственный, так, к примеру, на infostart'е есть тема Восстановление административного доступа к файловой базе данных, в ней представлен простой инструмент, который позволяет получить административный доступ к файловой базе 1С, если он, по какой-либо причине, был утерян.
p.p.s. Ну и естественно перед выполнением любых операций с информационной базой необходимо сделать ее резервную копию, думаю, про это никому лишний раз говорить не нужно.

суббота, 21 декабря 2013 г.

Новогодний квест Radmin

Доброго утра всем! Хотя для меня оно не такое доброе, всю ночь занимался переносом данных со сбойного HDD, вот только закончил. Никому не пожелаешь этих бессонных ночей. Но пост собственно не об этом. Когда копирование у меня все-таки запустилось и осталось терпеливо наблюдать за медленно бегущей полоской результата, я, несмотря на закрывающиеся глаза решил себя чем-то занять. Пара кружек кофе и несколько сигарет - отличный допинг для мозга (хотя с точки зрения медицины - это наверное спорно, но судя по ощущениям - по-крайней мере какое-то время помогает не заснуть). Ну так вот ...

Как вы уже наверное поняли, я любитель всяких квестов, конкурсов и прочих интеллектуальных задачек, в свободное время. Не так давно наша команда заняла первое место в командном зачете конкурса IT Starz 2013, о котором мы писали на страницах нашего блога. И тут я наткнулся на новый конкурс от Radmin / Famatech:

Условия простые. Квест состоит из нескольких этапов. В первом надо определить адрес Radmin Server'а, посчитав количество равносторонних треугольников в новогодней ёлке ;) Кто-то конечно может считать, ну а те, кому, как и мне лень, могут попробовать посканировать 4899 TCP порт в определенном "диапазоне" доменных имен. Лично для меня - быстрее было написать скрипт, чем заниматься сложными математическими подсчетами ;) (особенно в то время, когда глаза попросту закрываются). Во втором этапе - необходимо было угадать, что изображено на картинке (полные условия, а также сама картинке доступны на официальной странице конкурса, по ссылке выше), взять от названия последние 5 букв, которые и будут логином к конкурсному серверу Radmin, С этим проблем тоже не возникло. Ну и последним этапом, является нахождение в зашифрованном тексте пароля:

«Пусть благополучие и удача сопутствуют вам в новом 2014 году! Пусть ваш дом наполнится атмосферой праздника и это будет замечательным началом Нового Года!»

Вот тут-то как раз и начинается самое интересное. Что я только не пробовал делать. Добавлять к выделенным символам +1, -1 до 255 раз в цикле, то же самое только не по ASCII, а по алфавиту циклично, пробовал XOR'ить выделенные символы c числами от 1 до 255, пробовал XOR'ить, вычитать и складывать с паттерном 'radmin' последовательно. Все безрезультатно. Потом у меня была идея, что дело вовсе не в выделенных буквах, а в местах на которых они стоят ... Вообщем была перепробована масса вариантов ... Подсказок организаторы конкурса на странице ВКонтакте давать не захотели (что вообщем-то и правильно, т.к. задание вполне решаемо и без них, и ориентировано на интуицию, сообразительность и знания в некоторых областях), поэтому я не знал, стоит искать осмысленный пароль, увидев который можно понять что именно он является паролем или же пробовать те комбинации, которые потенциально могут им являться. Я уже было собирался взять Kali Linux и посмотреть какие средства в нем имеются для bruteforce'а паролей к Radmin Server по словарю ... как тут меня осенило ;)) Скажем так, я обратился к истории, теории шифров и вообще. Одна идея показалась мне достаточно интересной, и я подумал - а вдруг ... вдруг организаторы конкурса использовали именно её. Следующие 10 минут, несмотря на то, что копирование данных с моего HDD уже завершилось и пора было ложиться спать, я потратил на реализацию алгоритма этой идеи на PHP. И ... меня ждал успех ... я увидел что-то, что вполне могло быть паролем к заветному серверу.

Запуск Radmin Viewer, попытка коннекта ... и ... неудача. Стоп, стоп, стоп ... я же подключился в режиме управления, а по условиям конкурса нужно было в режиме просмотра. Еще одна попытка ... опять неверно. Где же я мог ошибиться? Возможно в картинке? Что у нас это? А есть ли другие названия у изображенного предмета? Хм ... ну да ... и последние 5 букв тоже представляют собой "целое слово". Пробуем ... Bingo ;)



Вот такую картинку мы видим при успешном подключении к серверу. Естественно, что адрес сервера и сам секретный код я "замазал", чтобы не портить другим участникам удовольствие от квеста. Забегая вперед, скажу, что подсказок по решению данного квеста я дать не могу, потому что это будет минимум нечестно по отношению к другим участникам. Да и призы организаторы обещают неплохие, каждому справившемуся с заданием квеста участнику выдается одна стандартная лицензия на Radmin, а участнику ответившему первым - внешний жесткий диск Seagate, объемом 4 Тб. Интересно, а первым ли я был? ;)

p.s. Постскриптум будет коротким ... Спасибо организаторам за интересный квест, хотя с шифром я бы наверное сделал чуть по-другому. Кстати, я думаю все, с нетерпением ждут выхода версии Radmin Viewer для Android и iOS. Хочется верить что работы, ведущиеся в этом направлении скоро завершатся, и в новом году компания Famatech порадует нас этими замечательными приложениями (кстати, еще интересный вопрос, а почему бы не реализовать возможность не только прямого подключения к Radmin Server, а также через "промежуточный сервер" компании Famatech, т.е. по тому же принципу, как это реализовано в TeamViewer, Ammyy Admin и аналогичных программах? Думаю что функционал, позволяющий подключиться к Radmin Server'у в "обход NAT", был бы крайне востребован, тем более что Radmin - достаточно известный бренд ... как минимум это позволило бы увеличить продажи и немного обойти конкурентов) ... Также, хочется пожелать успехов всем участникам квеста, надеюсь что вы тоже справитесь с заданием. Ну и конечно же, всем всех благ в наступающем Новом Году!

p.p.s. По завершению конкурса, если такие просьбы будут в комментариях (напоминаю вам, что комментарии в нашем блоге премодерируемые и отображаются на сайте только после одобрения модератором), расскажу о ходе своих мыслей во время решения и выложу скрипты.


вторник, 17 декабря 2013 г.

«МегаФон» запустил сеть 4G в Калуге

Может быть кто-то еще не слышал, но долгожданный запуск 4G сети от Мегафона состоялся. 4G - поколение мобильной связи с повышенными требованиями. К четвёртому поколению принято относить перспективные технологии, позволяющие осуществлять передачу данных со скоростью, превышающей 100 Мбит/с подвижным и 1 Гбит/с — стационарным абонентам. Сразу приведу несколько полезных ссылок:
Калуга стала пятым городом Калужской области, в которой «МегаФон» запустил сеть 4G. Год назад сеть 4G начала работать в городах Обнинск, Боровск, Балабаново и Малоярославец. В течение 2013 года связь нового поколения также заработала в таких населенных пунктах региона как Жуков, Белоусово, Курилово, Головтеево, Воробьево, Ворсино, Юбилейный, Детчино, Таруса и Кузьмищево.

Карту покрытия сети 4G в г. Калуга - вы можете посмотреть по первой ссылке. Что же касается доступных недорогих устройств 4G на данный момент у Мегафон действует предложение Смартфон МегаФон 4G Turbo всего за 4990 рублей!


МегаФон 4G Turbo
  • Поддержка сетей WCDMA 900/2100, GSM/GPRS/EDGE 850/900/1800/1900 МГц, LTE 800/1800/2600
  • ОС Android 4.0.4
  • Двухъядерный Qualcomm Snapdragon S4 Plus MSM8960, 1.5 ГГц
  • Сенсорный емкостный IPS дисплей 4,5", 720x1280 pix
  • Видеоускоритель Adreno 225
  • Оперативная память (RAM) - 1 ГБ
  • Внутренняя память (ROM) - 16 ГБ
  • Поддержка карт MicroSD до 32 ГБ
  • Камера - 8 Mpix со светодиодной вспышкой
  • Wi-Fi 802.11b/g/n
  • Bluetooth A2DP
  • Разъем micro USB, разъем для наушников 3,5 мм
  • Акселерометр
  • ГЛОНАСС, GPS
  • Литий-ионная батарея 1780 мА/ч
  • Габаритные размеры - 133x66,2x8,8 мм, вес - 128 г.
С обзором данного смартфона на Mobile Review можно ознакомиться здесь


вторник, 10 декабря 2013 г.

Яндекс.Диск. Получаем дополнительное место.

В этом посте мы хотели бы рассказать об акции, проводимой Яндекс.Диском, которая позволяет расширить предоставляемое место за счет приглашенных друзей. Собственно смысл очень простой - за каждого приглашенного на Яндекс.Диск друга вы получите 0,5 ГБ свободного места, а ваш друг — 1 ГБ.  Гигабайты будут начислены только после того, как ваш друг установит «Яндекс.Диск» на свой компьютер.

Мы тоже решили поучаствовать и помочь нашим друзьям получить 1 ГБ дополнительного места на Яндекс.Диске. Для того, чтобы сделать это необходимо, имея учетную запись на Яндексе:

  1. Перейти по ссылке - приглашение на Яндекс.Диск! Заведите свой Диск.
  2. Установить приложение Яндекс.Диск на свой ПК. Доступны версии для Windows, Linux, OS X, а также мобильных устройств.
Ну и напоследок, ссылка на Тур по сервису, если вы еще не используете его в повседневной работе.

p.s. На самом деле вариантов использования сервиса - масса, начиная, от хранения фотографий, личных документов и т.п., для обеспечения возможности доступа к ним с нескольких устройств одновременно. Например, с домашнего и рабочего компьютера, или компьютера и мобильного устройства. Также, данный сервис удобно использовать для быстрого обмена объемными файлами. Представим себе, что вы хотите передать человеку большой объем JPEG фотографий, или смонтированный вами видеоролик, или любой другой объемный контент. В этом случае, вам достаточно просто загрузить необходимые файлы на свой Яндекс.Диск, а человеку прислать ссылку для скачивания. Более того, многие провайдеры предоставляют так называемый "быстрый доступ" к определенным ресурсам. К примеру, скорость на вашем безлимитном тарифном плане 8 Mbit, однако существуют ресурсы скорость до которых "не режется" (не шейпится) провайдером. Вполне возможно, что ресурсы Яндекс.Диска попадают у вашего провайдера в эту категорию. Так что обмениваться файлами используя Яндекс.Диск не только удобно и выгодно, но еще и быстро. Ну а дополнительное место, я думаю, никому не помешает ... ;)

p.p.s. Ну и документальное подтверждение того о чем я говорил чуть выше. Раздел Быстрые ресурсы на сайте Ростелеком (Домолинк). Как мы видим, ресурсы yandex.ru - относится к данной категории, т.е.  доступны клиентам ОАО «Ростелеком» на максимально возможной скорости. Уточнить, есть ли у вашего провайдера "быстрый доступ" к ресурсам Яндекс можно тут, а также, связавшись со службой технической поддержки или абонентским отделом вашего провайдера.