Neuinstallation V1.8 Login-Problem

Habe V1.8 per zip auf einem neu installiertem Debian 11 mit Aktualisierung auf php 8.1 installiert. Während der Installation ist man ja erstmal in "openxe drin", muss sich aber irgendwie wieder einlogen.

Nach einmaliger Gelegenheit d. oxe-log(ed)in, komme ich per admin/admin nicht wieder rein.

Gibt es einen Trick oder was Bekanntes dazu?

"0"-Setzen(int) der Fehllogins in der DB hilft zwar weiterzu probieren. Doch nach "gesichertem" Löschen der verschiedenen Passworteinträge oder Setzen von Passwörtern im Klartext, was ja besser nicht gehen sollte, klappt es auch nicht.

./upgrade -do durchgeführt

.git-Verzeichnis liegt danach vor

Vor dem Versuch per git zu Aktualisieren ergibt d. Ausführung

git status

fatal: detected dubious ownership in repository at '/var/www/html/OpenXE-V.1.8'
To add an exception for this directory, call:


git config --global --add safe.directory /var/www/html/OpenXE-V.1.8
root@robert-x201:/var/www/html/OpenXE-V.1.8# git config --global --add safe.directory /var/www/html/OpenXE-V.1.8
root@robert-x201:/var/www/html/OpenXE-V.1.8# git status
HEAD losgelöst bei FETCH_HEAD
Unversionierte Dateien:
(benutzen Sie "git add <Datei>...", um die Änderungen zum Commit vorzumerken)
  githash.txt
  vendor/ezyang/htmlpurifier/library/HTMLPurifier/DefinitionCache/Serializer/HTML/


nichts zum Commit vorgemerkt, aber es gibt unversionierte Dateien
(benutzen Sie "git add" zum Versionieren)

Können die Dateien

  githash.txt
  vendor/ezyang/htmlpurifier/library/HTMLPurifier/DefinitionCache/Serializer/HTML/

einfach ge"added" werden?

git config ..

hat die "aufgeregte" git-Rückmeldung nicht beruhigt. Die status-Abfrage meldet immer noch die zwei unversionierten Dateien

Ist vielleicht ein

 upgrade -do -f

notwendig?

Habe leider den passwordhash aus der db f. admin doch nicht gesichert, lässt sich der restaurieren bzw. ist der notwendig?

Die login-Maske sieht nach admin/admin so aus:

also relativ nichtssagend. Nach mehreren Versuchen erscheint dann, dass die Anzahl an Versuchen zu hoch ist, was sich per dB zurücksetzen lässt.

Ich würde als nächstes in der welcome.php nachverfolgen, was zum aktuellen Ergebnis führt.

Gibt es einen Tipp

1. mit welcher Funktion ausser WelcomeLogin() das gut vorangeht?

2. Leider ist mir nur das errorlog("...",0); als printf-Ersatz bekannt, um den Verarbeitungsablauf auf der Konsole nachzuvollziehen, sind evtl. bessere aber ebenso einfach umzusetzende Möglichkeiten bekannt?

Muss in passwordsha512 etwas stehen, das Feld ist bei mir leer.

Ich bin mal die class.acl::Login durchgegangen und bekomme im Part

   if(isset($passwordhash) && $passwordhash != '' && $usepasswordhash){

       $checkunescaped = password_verify ($passwordunescaped, ..

ein '' bzw. leeren String zurück. Dann wird if(!$checkunescaped)-Part betreten und

password_verify (  $password ,

wobei

[Tue Apr 18 22:45:37.277416 2023] [php:notice] [pid 21415] [client 192.168.2.113:55803] class.acl.php::Login() password: 'temp'\n, referer: http://192.168.2.188/OpenXE-V.1.8/www/index.php
[Tue Apr 18 22:45:37.277425 2023] [php:notice] [pid 21415] [client 192.168.2.113:55803] class.acl.php::Login() passwordhash: '$2y$10$LfwRpYmGR059mR7tubUb9.NSpUyAkELYCj0aHZLsodV443KqO0qM'\n, referer: http://192.168.2.188/OpenXE-V.1.8/www/index.php
[Tue Apr 18 22:45:37.347918 2023] [php:notice] [pid 21415] [client 192.168.2.113:55803] class.acl.php::Login() checkescaped: ''\n, referer: http://192.168.2.188/OpenXE-V.1.8/www/index.php

checkescaped müsste doch '1' sein

Oh jetzt hab ich's

php -r 'printf("%s\n", password_hash("temp",PASSWORD_DEFAULT));'
$2y$10$k/svRItDOsb/DNUzC8RduueN5IHW6fq6WI5SAdHAAGEcN83jWYu.q

Mit dem Hash bin ich drin. Mal sehen wie es weiter geht...