Discussion :

[N_BaH]

Bonjour,

suite à la lecture d'un sujet sur l'API REST de la neufBox, j'ai voulu jouer avec auth.getToken et auth.checkToken, mais je rencontre un problème :
le hash obtenu avec les commandes sha256sum et hmac256 ne correspond pas au token.

que faire ?

EDIT: je suis sur ArchLinux.

[Flodelarab]

Bonjour

Peut-on voir les données ?

As-tu un hash de 128 caractères ?

D'où vient la commande hmac256 ? Des dépôts ?

[N_BaH]

c'est les données de la page citée :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$ token="43f6168e635b9a90774cc4d3212d5703c11c9302"
$ value="admin"
$ read hashVal r < <(sha256sum <<<"$value")
$ echo $hashVal 
fc8252c8dc55839967c58b9ad755a59b61b67c13227ddae4bd3f78a38bf394f7
$ hmac256 $token <<<"$hashVal" 
daa377228f897495be71184afc74dff8f867b90839408a54c0d6b1fa827f48b8

alors que la valeur attendue est 7aa3e8b3ed7dfd7796800b4c4c67a0c56c5e4a66502155c17a7bcef5ae945ffa.

pour hmac256 :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
$ pacman -Fs hmac256
core/libgcrypt 1.8.2-1
    usr/bin/hmac256

[Postmortem]

Bonsoir,

Je pense que ça vient du fait que la redirection « <<<chaîne » rajoute un « \n » à la fin de la chaîne.
Je suis tombé sur le même genre de truc y'a quelques semaines !

Comme ça, ça me semble bon :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
$ token="43f6168e635b9a90774cc4d3212d5703c11c9302"
$ value="admin"
$ read hashVal r < <(printf '%s' "$value" | sha256sum)
$ echo $hashVal
8c6976e5b5410415bde908bd4dee15dfb167a9c873fc4bb8a81f6f2ab448a918
$ printf '%s' "$hashVal" | hmac256 $token
7aa3e8b3ed7dfd7796800b4c4c67a0c56c5e4a66502155c17a7bcef5ae945ffa

[N_BaH]

super ! en effet, ce passage à la ligne pose des problèmes. merci.

cependant, en communiquant avec la box, « ça marche pas ».

je vous remets le code :

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
#!/bin/bash
 
hachage()
{
    value="$2"
    key="$1"
    read -r r fh < <(printf '%s' "$value" | openssl sha256)
    read -r r hash < <(printf '%s' "$fh" | openssl sha256 -hmac "$key")
    echo "$hash"
}
 
read -r -p 'Veuillez entrer votre login : ' login
test -z "$login" && { >&2 echo 'il faut entrer une valeur. Je quitte'; exit;}
 
token=$(wget -qO-  http://192.168.1.1/api/1.0/?method=auth.getToken | xmllint --xpath "string(//rsp/auth/@token)" -) #préféré à: sed -n '/auth token/s/[^=]*="\([^"]*\)".*/\1/p'
 
wget -qO- http://192.168.1.1/api/1.0/?method=auth.checkToken\&token="$token"\&hash="$(hachage "$token" "$login")"

d'après la doc, il semble qu'il faut donner le login ET le mot de passe,
mais en utilisant une même chaîne pour le login et le mot de passe, elle n'est pas d'une grande limpidité concernant la forme des données :

hash: hash du login/mot de passe

c'est tout !?

je ne vois pas non plus comment sont passées/utilisées ces deux données dans le code C.

EDIT:
ah! j'avance un peu.

auth.checkToken
[...]
par mot de passe:
Calculer un hash de 64 caractères ayant comme valeur la concaténation du hash de l'identifiant (sha 256 HMAC du hash sha256) et du hash du mot de passe. La clef a utiliser pour calculer les hash est le token.

encore une fois, pas super clair.
les mots sont là, mais pas dans l'ordre, on dirait.

dans les commentaires de la première page citée dans la discussion de Joffrey :

Pour le hash, en php :

Code php :

Sélectionner tout - Visualiser dans une fenêtre à part

$hash = hash_hmac(‘sha256’,hash(‘sha256’,$login),$token).hash_hmac(‘sha256’,hash(‘sha256’,$pass), $token);

donc,

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
hachage()
{
    local p="$3" l="$2" k="$1"
 
    read r lh < <(printf '%s' "$login" | openssl sha256)
    read r ph < <(printf '%s' "$pass"  | openssl sha256)
    read r lhm < <(printf '%s' "$lh" | openssl sha256 -hmac "$k")
    read r phm < <(printf '%s' "$ph" | openssl sha256 -hmac "$k")
 
    echo "$lhm$phm"
}

et là :

MAIS, ça ne me dit pas où trouver etk/crypt !
cf. https://www.developpez.net/forums/d1...-no-such-file/