web小白,实战操作拿到网站后台账户和密码

最新推荐文章于 2024-06-29 11:58:27 发布
最新推荐文章于 2024-06-29 11:58:27 发布
阅读量7.7k 收藏 24
点赞数 2
文章标签: html web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/frutrue/article/details/120668888
版权

话不多说,直接上赶货,前几天遇到一个网站,就想着怎么拿到他的后台权限

 

 首先我想的是去查看一下他的网站框架是什么,先随便构造个报错,看能不能有什么提示?

 

 我们可以从报错信息中看到一些信息,可以看到网站报错信息,知道了这个网站的框架是thinkphp,而且是thinkphp3.2.3版本的,那样就好办很多了,我们去git上面找可以扫描这个容器漏洞的工具(这里推荐TPscan)

 (此图省略,因为原先的图片丢失了哈哈哈)

扫描后我们知道了,该网站的容器上存在thinkphp日志泄露漏洞,我们就可以用工具去扫描该网站的日志了

 

最低0.47元/天 解锁文章
大都是泡沫
关注
  • 2
    点赞
  • 24
    收藏
    觉得还不错? 一键收藏
  • 6
    评论
论找网站后台的几个方法
andylee3119的博客
11-12 335
前言: 有可能你在渗透测试的过程中会遇到这样一个问题:目标站存在sql注入,却找不到后台,这是不是很蛋疼呢?所以这就是写这篇文章的目的:如何找网站后台 1、字典扫描 原理:利用敏感url(由很多url组成的俗称字典)对网站进行发包,利用返回包的状态码来进行判断区分,常见的如200(存在),403(存在但禁止访问),404(不存在) 更多状态码请自行百度或者谷歌,这里不再详述...
账号密码忘了不要慌,教你用Python自动解密解码,轻松获取!
轻松学python的博客
08-21 2707
前些天突然想进一个网站,但是太久没登录,密码早就忘了,于是想到Python 的一款神器Ciphey,三下五除二就把密码找回来了! Ciphey 是一个使用自然语言处理和人工智能的全自动解密/解码/破解工具。 简单地来讲,你只需要输入加密文本,它就能给你返回解密文本。就是这么牛逼。 有了Ciphey,你根本不需要知道你的密文是哪种类型的加密,你只知道它是加密的,那么Ciphey就能在3秒甚至更短的时间内给你解密,返回你想要的大部分密文的答案。 很多小伙伴在学习Python的过程中因为没有好的系统的
php脚本暴力破解网站密码(附php源代码)
qq_37910492的博客
11-30 1万+
有一种网站,没有验证码;有一种网站,你可以利用某种手段获取到登陆者的用户名(比如邮箱啦等等,用户名你是知道的),你所不知道的仅仅是登录密码,有没有什么方法可以破解呢?      我们单位有一个内网(虽是内网,但有时在家也可以登录),用户名可以搞到,密码原始是六位的数字(其实大多数人都没有修改过),而且牛叉的是,这个网站登录时,如果输入错误次数过多也不会让你输入验证码,这太好了,心中窃喜,可以用暴力...
查看浏览器中查看*号密码的方法(各类浏览器通用)
weixin_60535956的博客
04-29 995
一般情况下,人们都会在个人专用电脑上进行账号信息的更改,或在设置密码时将密码保存到个人电脑的浏览器中,如果是这样,你就可以在登录时,直接选择账号密码登录,无需再进行输入,我们就可以在浏览器中看到账号和*号密码(如下图)各类浏览器的通用方法如下(以Edge浏览器为例)。如何解决这个问题呢?选择元素后,在“元素”下的代码上移动鼠标,可以看到,将鼠标移动到某些代码上方,左侧页面中对应的某些元素会变色。尽管这个方法对于一般网站适用,但实际上,有的网站为了安全,对页面中部分数据进行了加密,也有不适用的情况。
Web爆破攻击实战Web前端黑客技术解密
qq_53058639的博客
03-05 850
没学过的同学也不要慌,可以去B站搜索相关视频,你搜关键词网络安全工程师会出现很多相关的视频教程,我粗略的看了一下,排名第一的视频就讲的很详细。服务器每次返回登录页面都会给客户端产生一个随机的 Token 值,客户端登录时,需要携带该 Token,服务器如果检查发现用户携带的 Token 和它产生的不一样,就会判断为攻击行为,拒绝登录。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
直播平台源代码,html网站使用js实现记住账号密码功能
云豹网络科技
11-02 495
以上就是 直播平台源代码,html网站使用js实现记住账号密码功能,更多内容欢迎关注之后的文章。直播平台源代码,html网站使用js实现记住账号密码功能。2、读取保存在localStorage里的账号密码。3、移除已经保存的账号密码
【积跬步以至千里】如何查看浏览器保存的密码
水亦心的博客
10-04 3721
目录 一、问题描述 二、解决方案 方式一、通过修改网页代码 方式二、从浏览器选项中查找 一、问题描述 很多人 都会通过浏览器注册一些账号,但是有些账号长久不用,又没有保存,难免会忘掉,庆幸的是,我的电脑浏览器没有清除记录,那么我想查看一下密码,怎么办呢? 二、解决方案 方式一、通过修改网页代码 右键查看元素,打开网页源代码,点左上角的按钮,选择右上角的password,就会自...
经典web系统后台界面剂网站模板源码(近40个)
03-10
在IT行业中,Web系统后台网站界面的设计与开发是至关重要的环节。优秀的界面不仅能够提升用户体验,还能彰显公司的品牌形象。本资源提供了一组接近40个经典的Web系统后台界面及网站模板源码,这些源码设计精美,...
Web设计购物网站程序源码下载
06-05
Web设计购物网站程序源码是开发在线电子商务平台的基础,它涉及到多个技术和概念。在这个项目中,我们使用Eclipse作为集成开发环境(IDE)来编写和管理源代码。Eclipse是一款强大的开源工具,广泛用于Java应用的开发...
java web开发实战1200例 第二卷 源码
04-01
《Java Web开发实战1200例(第2卷)》以开发人员在项目开发中经常遇到的问题和必须掌握的技术为核心,介绍了应用Java Web进行程序开发的各个方面的知识和技巧,主要内容包括流行组件应用、数据库应用、图表统计、Ajax...
实战-从社工客服拿到密码登录后台加SQL注入绕过安全狗写入webshell到提权进内网漫游.pdf
03-21
1. 社工客服可以获取到账户密码,进而登录到后台系统。 2. Burp 工具可以枚举出大量用户名,发现找回密码的规则。 3. SQL 注入可以使用 tamper 脚本绕过安全狗的防护。 4. 免杀模板可以过狗,上传恶意文件到服务器上...
软件测试实战项目(Web项目)
01-04
内容展示https://blog.csdn.net/weixin_43468923/article/details/112177100,选择性下载,仅供学习交流参考,请勿用作商务用途,若发现用作商用,保留平台申诉和法律维权的权利。
修改登录密码html代码,html登录界面设置账号密码
weixin_39616003的博客
06-03 3692
html网页设计:一个简单的登录界面代码。用html代码编写一个简单的登陆界面登录 jsp作业 登录 登录到jsp作业 Email 密码 记住密码 登录 注册javascript html 设计一个登录界面注册页面代码: 注册 去登录 var localDB = openDatabase('localDB', '1.0', 'Test DB', 2 * 1024 * 1024); localDB....
获取Webshell的常用方法(一)
Captain_RB的博客
12-03 9702
Webshell是以php、asp、jsp等网站脚本文件形式存在的一种网页后门,攻击者可以利用web请求的方式,获得webshell,控制网站服务器,进而进行执行命令、上传下载文件等操作。本文主要介绍在渗透测试过程中获取Webshell的基本思路,实战中还需就地取材,灵活应对。
寻找网站后台的几种常见的方法
qq_63651088的博客
10-25 1万+
(注:本教程仅供学习交流使用,不可用于一切未授权的网络攻击和违法行为!) 当我们进入一个网站时,如何对其后台进行查找、从而进一步渗透?今天给大家介绍几种常见的方法: 查看网站图片中的属性 我们可以随机点击一些图片的属性,看看它的路径能否加以利用 查看网站底部信息 可以翻到网站底部查看是否有“管理”之类的入口,一般学校的官网和zf网站会有此类入口 rebots文件 就是网站的防爬目录。可以在网址后加上/rebots.txt,其中可能隐藏后台目录。说不定管理员不想被搜索引擎找到,把网站后台地址放置
利用审核元素任意修改密码漏洞
白昼小丑的博客
11-13 990
打开审查元素,把输入用户名这个标签的value值改为admin。友情链接处 链接图片可以选择 php上传。后台登录,有个修改密码。输入密码,修改成功。
【谨慎学习】手把手教你破解网站管理后台帐号密码
热门推荐
Javachichi的博客
12-28 1万+
PS: 如果有朋友仔细的跟着教程去做去完成并加以思考了之后,会发现在教程中我们还有一个敏感的信息源,那就是我们的网关(换句话说就是我们的路由器),这个设备管控这我们电脑上所有的数据流,一旦我们的网关被不法份子所控制,那我们所有的数据将被监听、一旦不法份子通过某种工具或某种手段还原了我们的数据,那后果将是不可估量的,所以大家在日常中还要对自己网络的出口网关加以防护,尽量通过去做好每一个细节而保证我的网络安全。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
获取HTML元素的offsetParent属性
最新发布
weixin_44626980的博客
06-29 532
大家好,我是免费搭建查券返利机器人省钱赚佣金就用微赚淘客系统3.0的小编,也是冬天不穿秋裤,天冷也要风度的程序猿!今天我们将深入探讨在前端开发中常用的一个属性——HTML元素的。属性,这是前端开发中常用于布局和定位的重要属性。属性用于描述一个元素的包含块(containing block),即元素在页面布局中的参照物。属性,可以帮助开发者更好地处理页面布局和定位的需求,提升用户体验和页面性能。如果项目中使用了jQuery,可以使用其提供的方法来获取元素的。在前端开发中,我们经常需要获取元素的。
web安全如何攻入获取账户密码
01-27
Web安全攻击通常包括网络钓鱼、跨站脚本攻击(XSS)、跨站请求伪造(CSRF)等多种方式。 首先,网络钓鱼是通过伪装成合法网站或邮件来骗取用户的个人信息和密码。攻击者会发送伪装成银行、社交媒体或电子邮件服务商的虚假网页或邮件给用户,让用户输入账户密码等信息,从而获取用户的个人信息。 其次,跨站脚本攻击(XSS)是通过在网站上注入恶意脚本来获取用户的账户密码。攻击者可以将恶意脚本注入到网页中,当用户访问受感染的网页时,恶意脚本会获取用户输入的账户密码等信息并发送至攻击者。 最后,跨站请求伪造(CSRF)是攻击者通过伪造用户发出的请求,来获取用户的账户密码。攻击者可以在用户登录了某个网站后,发送伪造的请求来执行一些操作,例如修改密码或进行交易,从而获取用户的账户密码信息。 为了保护个人账户密码安全,用户应该注意识别和避免网络钓鱼网站和邮件、保持浏览器和操作系统的及时更新以减少XSS和CSRF的风险,同时也要避免在不可信的网站上输入账户密码网站开发者也应该及时更新网站安全漏洞,采用安全编程规范以避免遭受各种Web安全攻击。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值