Восстановление / сброс утраченного пароля в 1С 8.2

Про восстановление (сброс) утраченного пароля для входа в конфигурацию 1С:Предприятие 8.2 в интернете написано немало. Простой поиск в Яндексе выдает тысячи ссылок, по которым обещается гарантированный сброс пароля, или же вообще вход в базу без пароля. Большинство из описанных способов сводятся к редактированию файла базы данных *.1CD в HEX редакторе и замене имени таблицы users.usr / v8users на любое другое. В результате чего, при запуске в 1С данной конфигурации платформа считает что список пользователей базы не определен и позволяет зайти в базу без пароля. Однако, при этом теряется ваш список пользователей. Что же делать, если есть БД 1С Предприятия и необходимо восстановить (или же "обнулить" пароль забывчивого пользователя). Для начала приведем несколько полезных ссылок, в том числе и на наши статьи:

• Восстановление утерянного пароля к 1С 8.1 / 8.2 - в статье описывается несколько способов сброса пароля, в том числе и восстановления пароля по его SHA-1 хешу.
• Тема обсуждения данной статьи на нашем форуме.
• Алгоритм дешифровки BLOB-поля DATA в таблице v8users
• Краткое описание формата файлов *.1CD (файловых баз 1Сv8)
• Tool_1CD. Программа просмотра файлов баз *.1CD (1Сv8.x) - Программа позволяет увидеть структуру таблиц и полей файловой базы 1Cv8, просмотреть содержимое таблиц. Дополнительно можно сохранить в файл основную конфигурацию, конфигурацию базы данных и конфигурации поставщика, просмотреть размер внутренних файлов, выгрузить содержимое таблиц в XML. Альфа-версия программы позволяет также редактировать записи.

Если кто-то был внимателен, то заметил выделенную жирным фразу. Теперь замечательная утилита Tool_1CD от awa позволяет редактировать 1CD. Чем мы непременно воспользуемся при восстановлении паролей. Допустим, что у нас есть база с тремя пользователями: Бухгалтер, Директор и Менеджер. Откроем ее при помощи Tool_1CD:

Как мы видим, утилита расшифровала BLOB поле DATA в таблице v8users и показала нам SHA1 хеш пароля пользователя Директор в base64-виде - QL0AFWMIX8NRZTKeof9cXsvbvu8= (естественно, вы можете попытаться расшифровать его с помощью любого сервиса подбора sha1 хещей, для данного примера сделать это крайне легко, т.к. он тестовый). Представим себе, что сделать этого нам не удалось, однако нам необходимо обеспечить пользователю Директор доступ к базе, например, с пустым паролем с возможностью последующей его смены. Делаем следующее, включаем режим редактирования таблиц:

Сохраняем содержимое поля DATA в файл. В рассматриваемом примере он будет носить имя 0ed3bc84-7a1d-4f3b-8142-47c77c02f5c5_DATA:

После чего мы можем отредактировать его в обычном блокноте:

Вспоминаем, что SHA1 хеш пустой строки - это da39a3ee5e6b4b0d3255bfef95601890afd80709 или же 2jmj7l5rSw0yVb/vlWAYkK/YBwk= , заменим в полученном файле хеш пароля пользователя на хеш пустой строки и загрузим его в базу подтвердив изменения при сохранении. В результате у нас получится что-то вроде:

Таким образом, используя только утилиту Tool_1CD с возможностью редактирования нам удалось сбросить (обнулить) забытый пароль пользователя 1С 8.2.

p.s. Данный вариант далеко не единственный, так, к примеру, на infostart'е есть тема Восстановление административного доступа к файловой базе данных, в ней представлен простой инструмент, который позволяет получить административный доступ к файловой базе 1С, если он, по какой-либо причине, был утерян.

p.p.s. Ну и естественно перед выполнением любых операций с информационной базой необходимо сделать ее резервную копию, думаю, про это никому лишний раз говорить не нужно.

Новогодний квест Radmin

Доброго утра всем! Хотя для меня оно не такое доброе, всю ночь занимался переносом данных со сбойного HDD, вот только закончил. Никому не пожелаешь этих бессонных ночей. Но пост собственно не об этом. Когда копирование у меня все-таки запустилось и осталось терпеливо наблюдать за медленно бегущей полоской результата, я, несмотря на закрывающиеся глаза решил себя чем-то занять. Пара кружек кофе и несколько сигарет - отличный допинг для мозга (хотя с точки зрения медицины - это наверное спорно, но судя по ощущениям - по-крайней мере какое-то время помогает не заснуть). Ну так вот ...

Как вы уже наверное поняли, я любитель всяких квестов, конкурсов и прочих интеллектуальных задачек, в свободное время. Не так давно наша команда заняла первое место в командном зачете конкурса IT Starz 2013, о котором мы писали на страницах нашего блога. И тут я наткнулся на новый конкурс от Radmin / Famatech:

• Новогодний квест Radmin - сама страница конкурса.
• Новость в соц. сети ВКонтакте в группе Radmin о проведении конкурса.

Условия простые. Квест состоит из нескольких этапов. В первом надо определить адрес Radmin Server'а, посчитав количество равносторонних треугольников в новогодней ёлке ;) Кто-то конечно может считать, ну а те, кому, как и мне лень, могут попробовать посканировать 4899 TCP порт в определенном "диапазоне" доменных имен. Лично для меня - быстрее было написать скрипт, чем заниматься сложными математическими подсчетами ;) (особенно в то время, когда глаза попросту закрываются). Во втором этапе - необходимо было угадать, что изображено на картинке (полные условия, а также сама картинке доступны на официальной странице конкурса, по ссылке выше), взять от названия последние 5 букв, которые и будут логином к конкурсному серверу Radmin, С этим проблем тоже не возникло. Ну и последним этапом, является нахождение в зашифрованном тексте пароля:

«Пусть благополучие и удача сопутствуют вам в новом 2014 году! Пусть ваш дом наполнится атмосферой праздника и это будет замечательным началом Нового Года!»

Вот тут-то как раз и начинается самое интересное. Что я только не пробовал делать. Добавлять к выделенным символам +1, -1 до 255 раз в цикле, то же самое только не по ASCII, а по алфавиту циклично, пробовал XOR'ить выделенные символы c числами от 1 до 255, пробовал XOR'ить, вычитать и складывать с паттерном 'radmin' последовательно. Все безрезультатно. Потом у меня была идея, что дело вовсе не в выделенных буквах, а в местах на которых они стоят ... Вообщем была перепробована масса вариантов ... Подсказок организаторы конкурса на странице ВКонтакте давать не захотели (что вообщем-то и правильно, т.к. задание вполне решаемо и без них, и ориентировано на интуицию, сообразительность и знания в некоторых областях), поэтому я не знал, стоит искать осмысленный пароль, увидев который можно понять что именно он является паролем или же пробовать те комбинации, которые потенциально могут им являться. Я уже было собирался взять Kali Linux и посмотреть какие средства в нем имеются для bruteforce'а паролей к Radmin Server по словарю ... как тут меня осенило ;)) Скажем так, я обратился к истории, теории шифров и вообще. Одна идея показалась мне достаточно интересной, и я подумал - а вдруг ... вдруг организаторы конкурса использовали именно её. Следующие 10 минут, несмотря на то, что копирование данных с моего HDD уже завершилось и пора было ложиться спать, я потратил на реализацию алгоритма этой идеи на PHP. И ... меня ждал успех ... я увидел что-то, что вполне могло быть паролем к заветному серверу.

Запуск Radmin Viewer, попытка коннекта ... и ... неудача. Стоп, стоп, стоп ... я же подключился в режиме управления, а по условиям конкурса нужно было в режиме просмотра. Еще одна попытка ... опять неверно. Где же я мог ошибиться? Возможно в картинке? Что у нас это? А есть ли другие названия у изображенного предмета? Хм ... ну да ... и последние 5 букв тоже представляют собой "целое слово". Пробуем ... Bingo ;)

Вот такую картинку мы видим при успешном подключении к серверу. Естественно, что адрес сервера и сам секретный код я "замазал", чтобы не портить другим участникам удовольствие от квеста. Забегая вперед, скажу, что подсказок по решению данного квеста я дать не могу, потому что это будет минимум нечестно по отношению к другим участникам. Да и призы организаторы обещают неплохие, каждому справившемуся с заданием квеста участнику выдается одна стандартная лицензия на Radmin, а участнику ответившему первым - внешний жесткий диск Seagate, объемом 4 Тб. Интересно, а первым ли я был? ;)

p.s. Постскриптум будет коротким ... Спасибо организаторам за интересный квест, хотя с шифром я бы наверное сделал чуть по-другому. Кстати, я думаю все, с нетерпением ждут выхода версии Radmin Viewer для Android и iOS. Хочется верить что работы, ведущиеся в этом направлении скоро завершатся, и в новом году компания Famatech порадует нас этими замечательными приложениями (кстати, еще интересный вопрос, а почему бы не реализовать возможность не только прямого подключения к Radmin Server, а также через "промежуточный сервер" компании Famatech, т.е. по тому же принципу, как это реализовано в TeamViewer, Ammyy Admin и аналогичных программах? Думаю что функционал, позволяющий подключиться к Radmin Server'у в "обход NAT", был бы крайне востребован, тем более что Radmin - достаточно известный бренд ... как минимум это позволило бы увеличить продажи и немного обойти конкурентов) ... Также, хочется пожелать успехов всем участникам квеста, надеюсь что вы тоже справитесь с заданием. Ну и конечно же, всем всех благ в наступающем Новом Году!

p.p.s. По завершению конкурса, если такие просьбы будут в комментариях (напоминаю вам, что комментарии в нашем блоге премодерируемые и отображаются на сайте только после одобрения модератором), расскажу о ходе своих мыслей во время решения и выложу скрипты.

«МегаФон» запустил сеть 4G в Калуге

Может быть кто-то еще не слышал, но долгожданный запуск 4G сети от Мегафона состоялся. 4G - поколение мобильной связи с повышенными требованиями. К четвёртому поколению принято относить перспективные технологии, позволяющие осуществлять передачу данных со скоростью, превышающей 100 Мбит/с подвижным и 1 Гбит/с — стационарным абонентам. Сразу приведу несколько полезных ссылок:

• МегаФон — самая большая 4G-сеть страны
• «МегаФон» запустил сеть 4G в Калуге
• Краткий обзор LTE-устройств
• Устройства 4G / «МегаФон»

Калуга стала пятым городом Калужской области, в которой «МегаФон» запустил сеть 4G. Год назад сеть 4G начала работать в городах Обнинск, Боровск, Балабаново и Малоярославец. В течение 2013 года связь нового поколения также заработала в таких населенных пунктах региона как Жуков, Белоусово, Курилово, Головтеево, Воробьево, Ворсино, Юбилейный, Детчино, Таруса и Кузьмищево.

Карту покрытия сети 4G в г. Калуга - вы можете посмотреть по первой ссылке. Что же касается доступных недорогих устройств 4G на данный момент у Мегафон действует предложение Смартфон МегаФон 4G Turbo всего за 4990 рублей!

МегаФон 4G Turbo

• Поддержка сетей WCDMA 900/2100, GSM/GPRS/EDGE 850/900/1800/1900 МГц, LTE 800/1800/2600
• ОС Android 4.0.4
• Двухъядерный Qualcomm Snapdragon S4 Plus MSM8960, 1.5 ГГц
• Сенсорный емкостный IPS дисплей 4,5", 720x1280 pix
• Видеоускоритель Adreno 225
• Оперативная память (RAM) - 1 ГБ
• Внутренняя память (ROM) - 16 ГБ
• Поддержка карт MicroSD до 32 ГБ
• Камера - 8 Mpix со светодиодной вспышкой
• Wi-Fi 802.11b/g/n
• Bluetooth A2DP
• Разъем micro USB, разъем для наушников 3,5 мм
• Акселерометр
• ГЛОНАСС, GPS
• Литий-ионная батарея 1780 мА/ч
• Габаритные размеры - 133x66,2x8,8 мм, вес - 128 г.

С обзором данного смартфона на Mobile Review можно ознакомиться здесь. 

Яндекс.Диск. Получаем дополнительное место.

В этом посте мы хотели бы рассказать об акции, проводимой Яндекс.Диском, которая позволяет расширить предоставляемое место за счет приглашенных друзей. Собственно смысл очень простой - за каждого приглашенного на Яндекс.Диск друга вы получите 0,5 ГБ свободного места, а ваш друг — 1 ГБ.  Гигабайты будут начислены только после того, как ваш друг установит «Яндекс.Диск» на свой компьютер.

Мы тоже решили поучаствовать и помочь нашим друзьям получить 1 ГБ дополнительного места на Яндекс.Диске. Для того, чтобы сделать это необходимо, имея учетную запись на Яндексе:

1. Перейти по ссылке - приглашение на Яндекс.Диск! Заведите свой Диск.
2. Установить приложение Яндекс.Диск на свой ПК. Доступны версии для Windows, Linux, OS X, а также мобильных устройств.

Ну и напоследок, ссылка на Тур по сервису, если вы еще не используете его в повседневной работе.

p.s. На самом деле вариантов использования сервиса - масса, начиная, от хранения фотографий, личных документов и т.п., для обеспечения возможности доступа к ним с нескольких устройств одновременно. Например, с домашнего и рабочего компьютера, или компьютера и мобильного устройства. Также, данный сервис удобно использовать для быстрого обмена объемными файлами. Представим себе, что вы хотите передать человеку большой объем JPEG фотографий, или смонтированный вами видеоролик, или любой другой объемный контент. В этом случае, вам достаточно просто загрузить необходимые файлы на свой Яндекс.Диск, а человеку прислать ссылку для скачивания. Более того, многие провайдеры предоставляют так называемый "быстрый доступ" к определенным ресурсам. К примеру, скорость на вашем безлимитном тарифном плане 8 Mbit, однако существуют ресурсы скорость до которых "не режется" (не шейпится) провайдером. Вполне возможно, что ресурсы Яндекс.Диска попадают у вашего провайдера в эту категорию. Так что обмениваться файлами используя Яндекс.Диск не только удобно и выгодно, но еще и быстро. Ну а дополнительное место, я думаю, никому не помешает ... ;)

p.p.s. Ну и документальное подтверждение того о чем я говорил чуть выше. Раздел Быстрые ресурсы на сайте Ростелеком (Домолинк). Как мы видим, ресурсы yandex.ru - относится к данной категории, т.е.  доступны клиентам ОАО «Ростелеком» на максимально возможной скорости. Уточнить, есть ли у вашего провайдера "быстрый доступ" к ресурсам Яндекс можно тут, а также, связавшись со службой технической поддержки или абонентским отделом вашего провайдера.

RuTor без рекламы. Или боремся с кликандерами.

В этой небольшой заметке мы расскажем как сэкономить нервы ... нет, мы еще не начали давать нашим пользователям медицинские советы ;) Сегодня речь пойдет о том, как бороться с навязчивой рекламой (всплывающими окнами, открытием страниц, которые вы не запрашивали и т.п.) Для примера возьмем довольно популярный у нас открытый торрент-трекер RuTor.Org. Те, кто постоянно пользуется данным ресурсом наверное уже готовы сделать что-нибудь нехорошее с замечательными людьми, которые рассказывают нам о том, как можно быстро и гарантированно обыграть казино или показывают метод с помощью которого можно заработать в интернете  ... Фразы "так, видео с девочкой мы пока поставим на паузу" или "всем привет, сегодня я покажу вам ..." в неожиданно открывающихся вкладках ежедневно убивают не одну тысячу нервных клеток. Поэтому попытаемся сохранить их популяцию ...

Прежде всего, давайте разберемся с чем же мы имеем дело. Почему наш бразуер при клике в любое место RuTor'а сам открывает фоновую вкладку, которую мы не запрашивали. Данная технология называется clickunder ("кликандер").

Clickunder (от англ. Click и англ. under) — современный рекламный формат, используемый как один из методов привлечения интернет-трафика, заключающийся в отсутствии на рекламных площадках (сайтах, где размещен код clickunder) каких-либо баннеров (в том числе «плавающих»), «растяжек», ссылок и др. визуальных элементов рекламодателя. Тем не менее, этот формат относится к «незапрошенной рекламе», так как открытие страницы рекламодателя происходит при первом клике посетителя в любом месте сайта (например, по какой-либо ссылке или меню-навигации). Альтернативное название этого формата — bodyclick.

Когда вы загружаете главную страницу RuTor'а, вместе с ней грузится специальный Javascript, который собственно и реализует функционал кликандера. Инициализируется он следующим кодом:

<script type="text/javascript">document.write("<script type='text/javascript' src='http://ekod.info/js/1236.js?rnd="+Math.random()+"'><\/script>");</script>

Перейдя по ссылке - вы можете самостоятельно изучить исходный код кликандера. Он достаточно прост и при этом работает во всех браузерах (ввиду технологии, которая используется в скрипте браузер не выдает предупреждения о том, что всплывающее окно было блокировано, т.к. фактически пользователь сам инициировал нажатие кнопки мыши, просто скрипт представляет для браузера все так, как будто этот клик по любому месту документа на самом деле был кликом по рекламной ссылке). Суть в том, что при инициализации скрипта добавляется обработчик события onmouseup / mouseup для загруженного документа. И при нажатии кнопки мыши вызывается openNewTab(), в которой создается новый элемент тег <a> со ссылкой и выполняется инициализация и обработка нажатия кнопки мыши по нему. При этом, событие срабатывает при клике на любой html элемент (кроме "запрещенных"), для того чтобы браузер пользователя не "завалило" вновь открываемыми вкладками при каждом клике мышью - информация о том какое количество кликов пользователь уже совершил по странице и отобразилась ли у него вкладка - сохраняется в cookie.

Избежать появления подобных рекламных вкладок крайне просто. Для этого для сайта rutor.org достаточно просто отключить javascript (!) в настройках браузера. На примере Opera 12.16 (Presto) это можно сделать следующим образом:

• Заходим в меню Инструменты -> Общие настройки -> Закладка "Расширенные".
• В списке слева переходим на Содержимое.
• И справа кликаем по кнопке "Настройки для сайтов ... "

Добавляем сайт rutor.org и на закладке Скрипты выключаем использование JavaScript для этого сайта:

Больше всплывающие вкладки на этом сайте нас не побеспокоят.