Изменение ролей пользователей 1С 8 (файловый вариант)
Небольшая вводная: системный администратор уволился, пароль не оставил. Изменения в законодательстве, необходимо обновить 1С. Вариантов несколько: сбросить список пользователей, сбросить пароль администратора или узнать его с помощью брутфорса. Мы пойдем другим путем — сделаем пользователя с известным нам паролем — администратором.Для начала посоветую почитать о формате файла 1С. Сделать это можно здесь.Итак, нам потребуется шестнадцатеричный редактор. Я использовал HIEW. Запускаем редактор и открываем файл 1Cv8.1CD. Переходим по смещению 0×4000 — это корневой объект конфигурации. Первые 32 байта код языка базы. Затем количество блоков (4 байта), и собственно сами адреса блоков. Начинаем искать таблицу V8USERS. У меня она была в 7 блоке, то есть со смещением 0×8E000 (00 00 00 8E 000, читаем с права налево, в конце добавляем 000).
Переходим по этому адресу и видим
Перейдя по 0×91000 видим
А уже по адресу 0×92000 находится описание таблицы. Просчитать длину полей можно как описывалось в статье которую я приводил выше, скажу только что длина записи равна 697 (0×2B9) байт, а смещение поле DATA — 678 (0×2A6) байт.
Скрытый текст (так было на всех конфигурациях, которые я рассматривал, скорее всего так вообще в каждой конфигурации, так как V8USERS служебная таблица)
В конце описания таблицы видим три числа. Первое — адрес данных, второе — адрес Blob-данных, третье — индексы.
143 = 0×8F (адрес данных 0×8F000), 144 = 0×90 (адрес Blob-данных 0×90000).
Идем в данные. Там нас отправят в 0×193000, затем в 0×194000 (кстати, там может быть не по одному блоку как у меня, а несколько. Зависит от количества пользователей).
В вот мы в данных таблицы V8USERS. Первый блок длинной 697 байт пустой, дальше у меня шел пустой пользователь, затем пользователь Admin.
Скрытый текст (в HIEW чтобы перейти к следующему пользователю F5, затем +2B9)
Переместимся ещё на 0×2A6 байта. Это номер блока в Blob-данных.
Далее идем в Blob-данные (0×90000). От туда переходим в 0×195000, затем в 0×196000.
Нулевой блок Blob-данных пустой (размер блока 256 (0xFF) байт, первые 4 байта адрес следующего блока, если данные не влезли в один блок, затем 2 байта — размер блока, остальное сами данные). Нам нужен второй блок.
Скрытый текст (0×196000 + 0×100 + 0×100)
Копируем эти данные в файл (в HIEW клавиша F2) и переходим к следующему блоку.
Данные из него копируем в тот же файл.
Скрытый текст (для HIEW не забудьте указать смещение 0xFA).
Такие же манипуляции проводим с пользователем, пароль которого мы знаем. Полученные файлы можно открыть с помощью вот этой программы (спасибо пользователю Decker за алгоритм дешифровки)
Получим два вот таких файла
В принципе можно заменить роль пользователя User на роль Admin-а. В этом случае размер записи изменится не должен, но я просто добавил пользователю админскую роль.
Дальше сохраняем в файл и с помощью редактора копируем данные в 1Cv8.1cd, в те же блоки из которых мы их взяли. Помните, что копируем мы кусочками по 250 (00-F9). Если, как в моем случае, размер данных изменился, не забываем изменить размер последнего блока. Возможно придется добавить ещё один блок, тогда нужно будет найти свободный блок и указать его номер.Если все прошло гладко (у меня с первого раза не получилось, так-что backup, backup и еще раз backup), можно заходить с учетной записью User, она теперь с полными правами.
По такой-же методике можно получить хэш пароля пользователя, что бы его расшифровать или заменить. Вот он.
И напоследок. Прошу не считать эту статью руководством по взлому. В интернете полно информации, как изменив 2 байта получить несанкционированный доступ к данным. Это и быстрее и проще. Я же показал принцип работы с таблицами базы на низком уровне, что может пригодится при восстановлении испорченной базы.