记一个奇怪的万能密码

最新推荐文章于 2024-08-14 23:11:00 发布
最新推荐文章于 2024-08-14 23:11:00 发布
阅读量297 收藏 2
点赞数 3
文章标签: 数据库 渗透 漏洞挖掘 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2301_80127209/article/details/140015863
版权

前言

打的站点打多了,什么奇怪的问题都会发生

打点

开局一个登录框

用户枚举到账号爆破

测了一下,没发现admin的弱口令,但是发现存在用户枚举漏洞,因此准备跑一下账号

输入密码为123456 进行账号爆破

成功爆破出账号 à

是的,你没看错,就是à,经过测试发现任意密码都可以

登录

尝试利用账号à进行登录,发现是失败的,只有通过Burp放包才成功

这时候就复制登录成功后的jwt包

在登录处输入任意账号密码,选择拦截

将回显修改成刚才获取的内容

解除拦截之后可以访问成功

  申明:本账号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法。

免费领取安全学习资料包!

渗透工具

技术文档、书籍

 

面试题

帮助你在面试中脱颖而出

视频

基础到进阶

环境搭建、HTML,PHP,MySQL基础学习,信息收集,SQL注入,XSS,CSRF,暴力破解等等

 

应急响应笔记

学习路线

运维Z叔
关注
  • 3
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【安全研究】从mimikatz学习万能密码
ZAWX_NETSTARSEC的博客
09-24 492
1.背景介绍2015年1月2日,Dell Secureworks共享了一份关于利用专用域控制器(DC)恶意软件(名为“SkeletonKey”恶意软件)进行高级攻ji活动的报告,SkeletonKey恶意软件修改了DC的身份验证流程,域用户仍然可以使用其用户名和密码登录,攻ji者可以使用Skeleton Key密码作为任何...
「安全研究」从mimikatz学习万能密码——下
HBohan的博客
10-24 517
续上篇文章 我这里测了一下skeleton攻击并抓取了流量包,客户端发送的AS-REQ请求存在AES加密 但是域控的响应中却没有AES加密同时确实是报错STATUS_NOT_SUPPORTED 我们继续看下kdcsvc.dll的流程在域控通过kdcgetuserskey函数接收到用户的密码后不单单是会走 SamIRetrieveMultiplePrimaryCredentials函数同时会将密码传递给kerbhashpassword函数最终调用cryptdll.dll的导出函数CDLocateCSyst
漏洞挖掘 | 一个奇怪万能密码
2301_80127209的博客
03-19 310
打的站点打多了,什么奇怪的问题都会发生。
实战 | 奇怪万能密码
2301_80115097的博客
01-18 384
打的站点打多了,什么奇怪的问题都会发生。
Java实现7种常见密码算法
Huangjiazhen711的博客
10-23 410
Java抽象了一套密码算法框架JCA(Java Cryptography Architecture),在此框架中定义了一套接口与类,以规范Java平台密码算法的实现,而Sun,SunRsaSign,SunJCE这些则是一个个JCA的实现Provider,以实现具体的密码算法,这有点像List与ArrayList、LinkedList的关系一样,Java开发者只需要使用JCA即可,而不用管具体是怎么实现的。JCA里定义了一系列类,如Cipher、MessageDigest、MAC、Signature等,分别用
录攻防世界CRYPTO新手区
qq_53087690的博客
12-13 338
1.base64 **题目描述:**元宵节灯谜是一种古老的传统民间观灯猜谜的习俗。 因为谜语能启迪智慧又饶有兴趣,灯谜增添节日气氛,是一项很有趣的活动。 你也很喜欢这个游戏,这不,今年元宵节,心里有个黑客梦的你,约上你青梅竹马的好伙伴小鱼, 来到了cyberpeace的攻防世界猜谜大会,也想着一展身手。 你们一起来到了小孩子叽叽喳喳吵吵闹闹的地方,你俩抬头一看,上面的大红灯笼上写着一些奇奇怪怪的 字符串,小鱼正纳闷呢,你神秘一笑,我知道这是什么了。(一大堆废话) 打开附件: 用工具解密就得到了flag
黑客是怎么入侵一个网站的?
HUANGXIN9898的博客
04-19 411
黑客是怎样入侵你的网站的?--渗透测试基础全过程“渗透测试的本质是信息收集”我相信安全行业的人士无一不会赞同这句话,这也是我们所有安全人员需要谨的一句话。如同一众解密闯关类游戏一样,在渗透测试的过程中,我们往往需要通过大量的信息收集工作来筛选出有用的信息,并在这些信息的基础上去思考应该使用什么样的方法去进行渗透测试工作。其实无论是攻击还是防御,都离不开信息收集,可以说,我们的每一步动作都是建立在前一步的信息收集上,信息收集贯穿着我们从前端到内网的每一个环节,每一个步骤。
TK 技术学习日(一)
weixin_34111819的博客
11-21 4129
完全用Linux工作,摈弃Windows 作者:王垠 我已经半年没有使用 Windows 的方式工作了。Linux 高效的完成了我所有的工作。 GNU/Linux 不是每个人都想用的。如果你只需要处理一般的事务,打游戏,那么你不需要了解下面这些了。 我不是一个狂热的自由软件份子,虽然我很喜欢自由软件。这篇文章也不是用来推行自由软件运动的,虽然我觉得自由软件运动...
这一年,这些书:2021年读书笔
热门推荐
Heartsuit的博客
12-31 2万+
Note: 以下 markdown 格式文本由 json2md 自动转换生成,可参考JSON转Markdown:我把阅读数据从MongoDB中导出转换为.md了了解具体的转换过程。 红玫瑰与白玫瑰:张爱玲全集02 作者:张爱玲[中] ISBN:9787530218617 出版社:北京十月文艺出版社 出版日期:2019-02-28 图书标签:张爱玲,短篇小说,文学,红玫瑰与白玫瑰,小说 豆瓣地址: https://book.douban.com/subject/30294358/ 阅读日期:2021-01
SQL注入之万能密码.docx
06-04
例如,提供的例子中,万能密码的形式为 "'or'='or'",这样的构造基于一个假设:如果在查询中插入这个字符串,无论原始查询的其他部分如何,整个表达式始终为真,因为 '=' 操作符两边的单引号内的字符串都是非空的,...
万能密码.txt
07-18
- **绕过条件判断**:如“or1=1--”等语句,其基本思路是利用SQL语法中的逻辑运算符(如“or”)和注释符来构造一个永远为真的条件。 - **特殊字符利用**:如“%00”表示的是NULL字符,在某些情况下可用于绕过过滤...
万能钥匙破解版 无广告 显示密码
02-28
显示密码 【wifi万能钥匙功能特点】 云端:基于云端的Wi-Fi热点数据库,内置逾万条的热点数据,遍布全国各地。 省电:创新的Wi-Fi一键省电功能,屏幕锁定或无网络传输状态,智能关闭Wi-Fi功能,省电又省心。 分享...
万能文件密码破解器.zip
06-08
万能文件密码破解器,Acrobat_DC,word,excel办公软件。RAR等文件的加密解密常用工具。
注入总结之万能密码
06-15
通过对上述几种不同技术栈下万能密码的实现原理和技术细节的分析,可以看出SQL注入攻击仍然是当前网络安全领域的一大威胁。开发者应当采取有效的输入验证和数据过滤措施,如参数化查询等,以提高应用程序的安全性,...
JDBC详细使用
m0_73627305的博客
08-09 532
​ JDBC是一种标准,一种规则,主要作用是使用java语言操作数据库的​ JDBC这个标准中有很多的接口,接口中有很多方法。
seatunnel2.3.3在centos7上安装
鑫哥
08-09 889
安装前需要准备点环境,因为seatunnel是基于java开发的,因此需要先安装java,我这里使用的java1.8,可以网上搜索下java安装教程,得配置JAVA_HOME环境变量。在安装的过程中需要用到mysql命令,因此也需要安装下MySQL环境,这里也不具体讲解了,在网上搜索安装就行。接下来就是正式安装seatunnel了,
springboot民办高校科研项目管理系统-计算机毕业设计源码54009
VX_DZbishe的博客
08-11 536
论文主要是对基于springboot的民办高校科研项目管理系统进行了介绍,包括研究的现状,还有涉及的开发背景,然后还对系统的设计目标进行了论述,还有系统的需求以及整个的设计方案,对系统的设计以及实现,也都论述的比较细致,最后对基于springboot的民办高校科研项目管理系统进行了一些具体测试。本次报告,首先分析了研究的背景、作用、意义,为研究工作的合理性打下了基础。
mysql介绍
最新发布
weixin_57763462的博客
08-14 251
丰富的存储引擎:MySQL 提供了多种存储引擎,如 InnoDB、MyISAM、Memory 等,每种存储引擎都有其特定的应用场景和优势。多语言支持:MySQL 支持多种编程语言,包括 C、C++、Python、Java、Perl、PHP 等,并提供了相应的 API。安全性:MySQL 提供了灵活的权限和密码系统,支持基于主机的验证,并且所有的密码传输都采用加密形式,确保了数据的安全性。管理工具:MySQL 提供了丰富的管理工具,如命令行客户端、图形界面管理工具等,方便用户进行数据库的管理和维护。
举出几个ctf万能密码的例子
10-27
在CTF比赛中,万能密码是指可以用于多个题目的密码或者加密方式。以下是一些常见的CTF万能密码的例子: 1. 栅栏密码:这是一种简单的加密方式,可以通过将明文按照一定规律排列后再读取得到密文。常见的栅栏密码有竖...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值