Categories
Investigación

Cómo restablecer un usuario accediendo a la base de datos

Puede ocurrir que quieras recuperar una antigua página web pero resulta que el usuario admin que utilizabas no sabes su contraseña. Éste artículo te explica como restablecer una cuenta de usuario de una página web. Para ello accedes a la base de datos de la página. Se puede hacer de varias formas, una es ésta que explico.

No recuerdas la contraseña

Tras recuperar una página web llegas a la zona de administración y no recuerdas el usuario. Esta página web estaba creada con el gestor de contenidos Joomla, para otros gestores el procedimiento es similar.

adminitrator

Accediendo a los datos

La recuperación de la página web la hemos hecho en local, utilizando Xampp, que utiliza Apache, y mysql. Accedemos ahora al monitor inicial de xampp desde la dirección localhost:8080/dashboard y a continuación pulsamos en phpmyadmin. Se trata de un administrador de las bases de datos.

phpmyadmin

Entrando en la base de datos

Una vez en phpmyadmin buscamos la base de datos a la que apunta la página web, y una vez en dentro de la base de datos buscamos la tabla llamada prefijo_users (prefijo es un valor que varía).

Una vez aquí acccedemos a la tabla y buscamos el usuario que utilizábamos para acceder a la página web, en este caso es el usuario damha. Conviene decir que el valor de password no es la contraseña que nosotros escribimos, en texto plano, sino que es el resultado de aplicar una función hash, una fórmula matemática que convierte una serie de caracteres en otra serie de caracteres de longitud fija. Es una forma de proteger la contraseña porque en la base de datos no se guardan como nosotros la escribimos, sino como el resultado de aplicar una función criptográfica hash.

Ahora lo que hacemos es pulsar en EDITAR y luego nos vamos a la variable password y elegimos MD5. Luego en el valor escribimos la contraseña que nosotros querramos poner y pulsamos en CONTINUAR.

Una vez realizado esto si volvemos a acceder a la tabla de usuario veremos que nuestra contraseña se ha convertido mediante la función hash MD5 en una cadena de caracteres pero lo importante es que si ahora queremos entrar en la zona de administración sí que vamos a poder hacerlo poniendo de contraseña la que escribimos anteriormente.

Cómo hacen los ciberdelincuentes

Esta posibilidad de entrar en la base de datos y cambiar alguna variable es a veces utilizada por los diberdelincuentes. De algún modo son capaces de acceder a la base de datos. Buscan esa tabla de usuarios, y resetean la contraseña poniendo una que ellos quieran. De este modo asaltan la banca y consiguen entrar a la página de una manera legítima. Y es que tanto el usuario como la contraseña son válidos.

Otros usos no legítimos de modificar la base de datos

El que puedas tener acceso a la base de datos de una página web, bien sea porque tu mismo eres webmaster o bien por ser un ciberdelincuente provoca que se puedan cambiar valores y poner el que tu quieras. Pongo unos ejemplos pero hay muchos:

  • Acceder a la base de datos de una facultad para cambiar la nota de una asignatura. Puedes entrar en la base de datos de la universidad. Ir a la tabla de usuarios, tabla de notas, y modificar una nota que no te guste. Ejemplo, cambio de notas máster de Cifuentes . En este caso la funcionaria que cambió la nota no lo hizo directamente. Lo hizo a través de una herramienta de gestión y quedó guardada su presencia porque fue quien modificó la nota, su usuario en la intranet fue quien la modificó.
  • Modificar las horas de un alumno/a en un cursos online. Si estás realizando un curso por internet es probable que tengas que cumplir unas horas mínimas de conexión al curso. Si hay alguno que no llega a ese tiempo mínimo de conexión puede ser que acceda al a base de datos para modificar ese tiempo. De ese modo consigue ser alumno finalizado.
  • Crear usuario ficticios para conseguir tener más presencia en la red. Si tienes una página con pocas visitas quizás te interese crear usuarios ficticios para mostrar que hay mucha gente interesada en los productos que tu ofertas. También puedes crear facturas falsas, usuarios que compran en tu página sin realmente hacer esa compra. Es parecido a ganar seguidores en redes sociales como twitter o instagram.

Y vosotros, ¿sabéis algun otro uso de la modificación de bases de datos de páginas web?

Leave a Reply