万能密码 php,PHP 万能密码

最新推荐文章于 2023-08-23 14:51:11 发布
最新推荐文章于 2023-08-23 14:51:11 发布
阅读量2.6k 收藏 1
点赞数 1
文章标签: 万能密码 php

PHP 万能密码

说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百

可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。

其实说这话的人没有好好想过,更没有尝试过用万能密码进PHP的后台。

其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。

如果你用这样的万能密码'or'='or',当然进不去,理由是GPC开启的时候单引号会被转换。

PHP注入时我常用的万能密码是:'or 1=1/*.

那我们分析一下为什么这可以进后台。

如果sql语句这样写:"SELECT * FROM admin where name='".$_POST['name']."'and password='".$_POST['password']."'",那我们在帐号处输入万能密码'or 1=1/*,密码随便输,sql

语句就成了select * from admin where name='’or 1=1/*' and password='任意字符'。

/*为mysql的注释符,这样后面的东西就都被注释掉了,也就是为什么密码随便输的原因。

假设GPC转换没有开启,那么请看:where name='’or 1=1(*/后面的东西被注释掉了),

name='’的逻辑值为假,而后面的1=1逻辑值则为真,对于整体就成了假 or 真,最终的逻辑值

还是真,就进后台了。

那么如果GPC转换开启了,就对单引号进行了转换。语句就变成了where name='\’or 1=1,在

看一下和刚才有什么区别,无非是多了个\。name='\'与name=''的逻辑值一样,都为假,那1=1

为真,总的sql语句的逻辑值不还是真吗?那有进不去后台的理由吗?

所以总的来说,php网站的万能密码可以这样写:'or 1=1/*,而GPC转换是否开启对它没有任

何影响!

所以请改变你的想法:存在字符型注入的php网站是可以用万能密码'or 1=1/*的。

0

0

0

0

b4220bf761c1e6d35f6ada31fee712c4.png

评论(0)

“还没有人发表评论,快去抢占沙发吧”

白汐牙
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
php 万能密码,网络安全系列之十 万能密码登录网站后台
weixin_39969611的博客
03-11 824
在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中用来接收用户所输入的用户名和密码的变量也分别是username和password,当用户在用户验证页面输入用户名和密码后...
php 万能密码,万能用户名和万能密码
weixin_42134554的博客
03-11 966
万能用户名any’ union select * from user – (后面有个注释符)联合查询,是查询的结果大于1,为真万能用户名防御PDO$username=$REQUEST['usernm'];$password=$_REQUEST['passwd'];$pdo=new PDO("mssql:host=127.0.0.1;dbname=users","sa","root");$sql="...
php万能密码登陆
奕家
06-24 5163
''' 问题?后台登陆必须的账户和密码正确吗? 答:不一定是,看程序员写的代码如何,有没有做安全防范,程序都是人写的,人不是万能的,所以bug总会有的#嘛! 此时,万能登陆来了 ''' 1.用户正确密码正确: http://192.168.65.133/sqlserver/login.aspx 密码正确的数据库语句 select * from Admin where name='yuan' and passWord='123' 登录成功! 2.用户正确密码...
万能用户名(密码)原理分析
最新发布
Have_a_great_day的博客
08-23 578
后端源代码在【.\phpStudy\WWW\cms\admin\login.action.php】中。通过两个例子可知,万能式子是利用后端代码与数据库交互的漏洞,并结合运算符算法,使最后的结果输出为真。将第一条代码输入到用户名,密码随机输入,后端数据库代码将会如下所示。在登录界面,随机输入用户名和密码,后端数据库代码将会如下所示。.】--- 接收前端登录框密码的位置。】--- 接收前端登录框账号的位置。(数据库)相匹配的账号与密码。运算符优先级:and>or。第二十行 --- 搜索与。
万能密码的SQL注入漏洞其PHP环境搭建及代码详解+防御手段
Zeker62的博客
09-01 1341
目录环境搭建session会话环境搭建代码创建数据库脚本登录界面html:查询数据库是否为正确的账号密码php代码连接数据库php代码:注销登录代码(即关闭session会话)登录成功欢迎界面:万能密码漏洞剖析万能密码攻击防护使用正则表达式限制用户输入:使用PHP转义函数:转义函数的弊端MySQLi 参数化查询环境搭建 这个渗透环境的搭建有以下几点 基于session的会话 登录界面 登录成功...
网站后台万能密码/10大常用弱口令
热门推荐
OxYGC
05-08 4万+
01:"or "a"="a02:')or('a'='a03:or 1=1--04:'or 1=1--05:a'or' 1=1--06:"or 1=1--07:'or'a'='a08:"or"="a'='a09:'or''='10:'or'='or'11:1 or '1'='1'=112:1 or '1'='1' or 1=113:'OR 1=114:"or 1=115:'xor16:用户名 ' U
PHP万能登陆密码
03-21
PHP万能登陆密码,涵盖了所有的万能类型,值得收藏
注入总结之万能密码
06-15
适用的网络安全学习资源,PHP+MySql,ASP+Access,ASP+Ms Sql
万能的php分页类
01-20
本文实例为大家分享了php分页类的具体代码,供大家参考,具体内容如下 <?php /*核心:首页、上一页、下一页、尾页的url*/ /*超全局$_SERVER*/ $page = new Page(5,60); var_dump($page->allUrl()); class Page{ /...
PHP_万能表单+7.7.5.zip
07-08
PHP_万能表单+7.7.5,万能表单指定器,适合学习研究。
phpweb的文件破解并修复万能密码漏洞
06-23
phpweb的post.php文件破解并修复万能密码漏洞 。绝逼可用
两款万能的php分页类
12-19
本文为大家分享个超级好用、万能的php分页类,具体的实现代码如下 第一款php分页类 <?php /* * To change this template, choose Tools | Templates * and open the template in the editor. */ /** * 分页...
php万能后台密码,Key神-万能CMS网站后台密码重设工具
weixin_42501892的博客
03-13 396
“Key神-万能密码重设工具”为安全联盟站长平台为了解决长期困恼站长们的一个世纪难题:“我忘记后台密码了!怎么办?”而诞生的!本程序采用了“云端”更新技术,可自动识别网站程序。站长只需要简单将程序下载并上传到网站跟目录下,输入密码即可修改网站后台管理员密码。自从有了安全联盟“Key神”,嘛嘛再也不用担心我忘记后台管理密码了!更新日志:[更新纪录-2013.11.23]*新加destoob b2b、...
php的登录密码是什么意思,password什么意思?
weixin_28725037的博客
03-23 653
英文单词password的意思为:密码。作为命令时,它可以用来设置和更改用户密码。计算机中用途Linux - passwd 命令用途更改用户密码。语法passwd [ -R load_module ] [-f| -s] [ User ]描述passwd 命令设置和更改用户密码。使用此命令更改自己或者另一个用户的密码。使用 passwd 命令也能更改与登录名关联的全名(gecos)和用来作为操作系统...
万能密码 php,PHP万能密码
weixin_29012677的博客
03-09 707
说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。如果你用这样的万能密码'or'='or',当然进不去,理由是GPC开启的时候单引号会被转换。...
PHP万能密码登陆
weixin_34262482的博客
09-26 1064
说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是     百分之百。     可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了     PHP注入。     其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。     其实GPC魔术转换是否开启对用万能密码进后台一点影响也没有。     如果你用这样的万...
php密码注入,php下的SQL注入万能用户名和密码
weixin_39661353的博客
03-09 543
1.针对有单引号的情况 :万能密码 :select * from users where username='xxxx' and password='xxxxxx' or 1='1';万能用户名 :select * from users where username='xxxx' union select * from users/* and password='xxxxx';防止第一种万能密...
后台登陆万能密码总结
lizhengnanhua的专栏
09-07 2万+
1.Asp/Aspx万能密码: 'or'='or''or 1=1--''or 1=1--'or'a'='a"or "a"="a"or"="a'='a ')or('a'='aor 1=1--a'or' 1=1--"or"="a'='a'or''='1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xoradmin' or 'a'='
PHP万能密码
Just Code
12-03 2587
刚接触PHP,对PHP安全方面的资料作了些收集和查阅,PHP注入首当其冲,一篇神秘小强的PHP万能密码写得不错,摘录:   说实话如果一个网站的前台都是注入漏洞,那么凭经验,万能密码进后台的几率基本上是百分之百。 可 是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜绝了PHP注入。其实说这话的人没有好好想过,更没有尝试过用万能密码PHP的后台。其实GPC魔...
sqlmap万能密码
08-15
- *1* *2* *3* [CTF---Web---SQL注入---01---万能密码+sqlmap](https://blog.csdn.net/qq_22160557/article/details/119194712)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值