ottobre 22, 2017

Alfresco tips & tricks – #1 Reset admin password

Voglio raccogliere una serie di quick-setup e suggerimenti utili per attività di amministrazione e troubleshooting su installazioni di Alfresco. Partiamo con questo articolo in cui mostro come ripristinare la password di amministrazione nel caso in cui fosse smarrita o dimenticata. Sul wiki ufficiale di Alfresco è riportata un’utilissima documentazione sul pattern utilizzato per la sicurezza e l’autenticazione a cui farò riferimento.

NOTA 1– Le soluzioni riportate sono applicabili per l’utenza di amministrazione secondo la authentication chain AlfrescoNtlm di default, non vengono considerati sottosistemi di autenticazione di terze parti come Active-Directory, LDAP o altri sistemi di Single Sign-on esterni.

NOTA 2 –  Nel meccanismo di autenticazione AlfrescoNtlm, le password sono salvate sul database di Alfresco come MD4 hash della stringa codificata UTF16LE (i.e. NTLM). Ecco un esempio per la stringa ‘admin‘.

reset-alfresco-admin-password-01

SOLUZIONE 1. Si conoscono le credenziali di almeno un utente senza privilegi di amministrazione (per esempio “bob”).

– Alfresco 3.2 e superiori

Alfresco 3.0 e precedenti

Riavviare Alfresco e loggarsi come ‘bob‘. Reimpostare la password per l’utente ‘admin‘ quindi ripristinare la configurazione.

SOLUZIONE 2. Non si conoscono le credenziali di nessun utente ma si ha accesso in lettura/scrittura sul database Alfresco.

in questo esempio di vede il valore NTLM per la password ‘12345’. Eseguire un update sulla colonna string_value column con node_id=4 e qname_id=11:

Il nuovo valore ‘209c6174da490caeb422f3fa5a7ae634’ inserito è l’hash NTLM della stringa ‘admin’ perciò è possibile accedere su Alfresco usando le credenziali di default admin/admin.

SOLUZIONE 3 .Hacking dell’hash NTML di Alfresco usando MDCRACK  (solo a scopi di studio o penetration test )

Completo questo post con un caso di studio interessante di hacking basato su un approccio a bruteforce dell’hash NTML con mdcrack. Questo esempio deve essere inteso come attività di supporto a penetration tester, amministratori di sistema e utenti che vogliono verificare la robustezza della propria password o di un altro utente per cui hanno avuto il permesso di farlo allo scopo di determinarne il livello di sicurezza. Declino ogni responsabilità per ogni azione illegale basata su questo post.

 

reset-alfresco-admin-password-02

Leave a Reply

Your email address will not be published.