html5判断用输入密码,CTF中Web密码绕过(特殊的万能密码绕过)详解

最新推荐文章于 2024-05-03 21:44:52 发布
最新推荐文章于 2024-05-03 21:44:52 发布
阅读量2.6k 收藏 4
点赞数
文章标签: html5判断用输入密码

可能做过CTF题的朋友们,都有一定的了解过Web登陆密码绕过这种类型的题目,绕过的方法也有很多,层次不穷,今天帮朋友的时候也遇到了这类型的题目,但是又非常的特别,网络上也是很少见的,特意分享出来一下。

题目:

admin的密码非常长,但是有最短的方式绕过。

前台代码:

admin的密码非常长,但是有最短的方式绕过

绕过方法:

这里用到的是SQL注入万能密码绕过:用户名为:admin,密码为:'='。

cf0c722c39ed60094f6f77c0bfaf2bc5.png

原理:

原理就是用的SQL语句的查询注入漏洞。

内部的查询语句:

$sql = “select user from flag where user=’\$_POST[‘user’]’ and password=’\$_POST[‘password’]’”;

输入'=' 后,查询语句为:

$sql = “select user from flag where user=’admin’ and password=’‘=’‘”;

user='admin' 为真,而

最低0.47元/天 解锁文章
kpbs
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF常用后台密码
08-12
CTF常用后台密码集,可以通过burpsuite进行密码爆破。
BUUCTF学习(一):SQL注入,万能密码
初尘屿风的博客
10-16 468
SQL注入是一种常见的Web应用程序漏洞,攻击者可以通过注入的SQL语句获取数据库的敏感信息,对网站用户的数据安全造成威胁。
2024年网络安全最新PHP CTF常见考题的绕过技巧_str_replace函数绕过(2)
最新发布
2401_84265972的博客
05-03 995
/使用1.0就可以绕过if(MD5(GET′name′])==MD5echo $flag;echo ‘?PHP在处理哈希字符串时,会利用”!=”或”==”来对哈希值进行比较,它把每一个以”0E”开头的哈希值都解释为0,所以如果两个不同的密码经过哈希以后,其哈希值都是以”0E”开头的,那么PHP将会认为他们相同,都是0。
CTF---Web---SQL注入---01---万能密码+sqlmap
qq_22160557的博客
07-29 3432
文章目录前言一、题目描述二、解题步骤1. 万能密码登录2. sqlmap爆库3. 爆表4. 爆列5. 爆字段三、总结 前言 题目分类: CTFWeb—SQL注入—01—万能密码+sqlmap 一、题目描述 题目:SQL注入 链接:192.168.87.172 二、解题步骤 1. 万能密码登录 Step1:尝试万能密码:user=‘=’,pass=‘=’,输入后登录成功,注入点在此 2. sqlmap爆库 Step2:源代码提示,提交方法为POST,所以此题为sqlmap的post注入,采用kai
buuctf-BUU BRUTE 1
m0_74013288的博客
09-24 757
当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码,同样,它也不是一个真正意义上的密码,而是一个【拥有不同变体的格式】打开靶机后,我们可以看见一个登录界面,随机输入账号与密码,显示错误,那么Brup Suite进行爆破,找到正确账号为admin。需要注意的是,以下所有万能账号的 a 可以是自定义的数字或字母,比如 1,2,3,b,c,d。密码随便输入,比如 123456。万能密码的使用:用户名输入万能密码】,比如 admin’ #需要注意的是:万能密码的 admin,必须是真实的用户名。
BUUCTF(刷题日记)
weixin_74022830的博客
03-23 957
BUUCTFweb刷题记录
CTF初学之WEB
m0_68875832的博客
04-02 476
爆表名:password=1' union select 1,2,table_name from information_schema.tables where table_schema=database() limit 0,1#爆数据:/check.php?3.OWASP Top10:这个项目总结的是Web最常见、最可能的十大漏洞帮助我们进一步了解发现企业的漏洞,还有一般的防御措施,是入门了解Web的必经之路。爆数据库:password=:1' union select 1,2,database()#
CTFshow sql注入 上篇(web171-220)
Kradress的博客
03-18 6975
目录前言题目web 171(万能密码)web 172(回显内容过滤,base64或者hex编码绕过)web 173(回显内容过滤,base64或者hex编码绕过)web 174 (盲注)总结 前言 师傅们加油!!! 题目 web 171(万能密码) //拼接sql语句查找指定ID用户 $sql = "select username,password from user where username !='flag' and id = '".$_GET['id']."' limit 1;"; id存在注
密码爆破---绕过验证码进行登录爆破
04-14
密码爆破提供了更多的思路
CTF密码学CryptoRSA学习资料,经典题型代码wp
03-22
主要是针对CTF密码学CryptoRSA的知识,通过原理的代码,还有数论基础知识,让你在CTF密码学方向,得到强化 适合人群:0基础CTF,喜欢密码CTF,RSA 能学到什么:①Sagemath的使用②数论基础③针对RSA的...
CTF_密码学.pdf
08-08
前言 公钥密码 CTF WEB密码学 Padding Oracle 攻击 哈希扩展攻击
CTF之常见密码学攻击手法和实现.md
10-24
CTF-crypto-入门-密码
CTF密码学-Python古典密码加密解密脚本
04-30
该压缩包包含了Python脚本编写的摩斯密码加密解密、培根密码加密解密、ASCII编码解码、凯撒密码加密解密,可用于教学和实操
CTF [极客大挑战 2019]EasySQL Writeup 万能密码
baynk的博客
04-06 3116
这个诚不欺我,真的很简单。。。 一顿操作后没发现什么有用的信息,输入了个admin/admin 跳转到了check.php了,在username处加个常规的'看是否有报错。 真的有,尝试万能密码admin' or '1'='1 但是没出结果,但是这里肯定是用注入的,接着使用,第二种,不去判断密码的正确性。admin' or 1=1 %23 直接就出来了,这里还可以在password处再用...
CTF密码学常见加解密总结
热门推荐
攀登
03-10 6万+
                                                CTF密码学总结之前拜读了各路大神关于密码学的文章,讲解的十分透彻,感觉顿时领悟。但是后来需要用时,脑子里一片空白,空白,白,白,白......所以写篇文章以记之,以免再次忘记23333。废话少说,上正文。1.base64编码     Base64是网络上最常见的用于传输8Bit字节码的编码方式之一,b...
CTF-Web2-(简单绕过登录过滤)
→_→
07-14 1万+
登陆一下好吗?? 做CTF题时,不要忽略任何信息,要先收集信息,再分解信息,对于出题者的信息,不可全信,也不可不信,具体的来说就是要仔细分析,出题者的意图。 那么,根据这一题的信息,我们了解到这是一道过滤了某些字符的登录注入题型,为了进一步了解点击链接开始答题: 打开链接,我们就能看到一个很简单的一个登录页面,我们可以按F12查看前端代码,看是否有隐藏的信息,结果没有,接下来我们就要考虑给出的信息提到过滤了一切,我们测试一下,看是否过滤了所有的字符: 点击登录: 从返回的信息.
青少年CTF - Web - Flag在哪里 Wp WriteUp
zxsctf的博客
10-01 3923
在标签的title标签下方,就有被注释的flag。flag是动态的哦,同学们要自己好好做题!启动环境,需要等待大概20秒左右的时间。访问,页面显示Flag反正不在这。平台名称:青少年CTF训练平台。右键网页,发现无法使用右键。题目名称:Flag在哪里?
Bugku / CTF / WEB 输入密码查看flag
weixin_43851558的博客
07-28 3487
根据URL提示可知本题用爆破 本题要求的密码是5位数 修改google的代理服务器,再用burpsuite抓包,步骤如下: 1.将burpsuite打开后 点proxy >> intercept >>intercept is on >> 再浏览器页面输入密码 eg:1 并点击查看 2.抓包成功,页面如下: 如图可见最后一行显示我们输入...
CTF训练笔记(五)- 一些获取FLAG的方法总结(待续)
morrino的博客
04-21 2万+
- 注意开放了未知服务的端口,可以使用nc工具获取对应的Banner信息; - 当命令疑似被过滤时,尝试使用相近的shell命令绕开过滤,如‘cat’换成‘more’; - 不放过任何可利用服务和细节,哪怕可能会做无用功; [CTF训练笔记系列 - 快速导航](https://blog.csdn.net/morrino/article/details/116036237)
ctf如何绕过数字大小校验
05-25
数字大小校验通常是指程序会对输入的数字做大小限制,例如输入的数字不能超过某一个范围或者必须大于等于某个值。如果要绕过这个校验,可以考虑以下几种方法: 1. 利用溢出:输入较大的数字可能会导致变量溢出,从而使得数字大小校验失效。例如,如果程序限制输入的数字不能超过100,那么输入一个很大的负数可能会导致溢出,使得程序认为输入的数字大于100。 2. 修改校验逻辑:在程序运行时找到数字大小校验的代码,将其修改为始终返回true的代码,从而绕过校验。这种方法需要对程序的逻辑和代码结构有一定的了解。 3. 模拟输入:在数字大小校验之前,程序可能会对输入做一些处理,例如取余、加减等操作。如果能够模拟这些操作,就可以绕过数字大小校验。例如,如果程序要求输入的数字必须是偶数,那么可以输入一个很大的奇数,然后在校验之前模拟一个取余操作,使得程序认为输入的数字是偶数。 需要注意的是,绕过数字大小校验可能会导致程序逻辑错误或者安全漏洞,因此应该谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值