localhost login 后面输入什么_什么是逻辑漏洞?

最新推荐文章于 2022-05-01 22:02:02 发布
最新推荐文章于 2022-05-01 22:02:02 发布
阅读量1.8k 收藏 1
点赞数
文章标签: localhost login 后面输入什么

dab27a3bbc98540424335d526db6671c.png
  • 大黑客:小v呀,你竟然在网上说自己是清华的,啧啧...
  • ailx10:别瞎扯,你没有我的密码,不可能看到我信息!
  • 大黑客:是吗?你看看下面这个是不是你,成功!!!
  • ailx10:谁还不能有点理想?你不也说自己是清华的嘛,哈哈哈哈嗝.......

dc91667b5ece2073d651f19a18d0f15f.png

上面的场景就是典型的逻辑漏洞,大黑客和小v都可以绕过一些环节,直接查看对方的个人信息,上次还侥幸挖到一个知乎逻辑漏洞:知乎漏洞2则 。

在线实验环境: http:// 144.34.129.116/ (请勿攻击,抓住看我不打死你哦)

维护服务器需要一定费用,本网站有效维护到2019年9月!赞助请打赏文章,会积好运。

常见逻辑漏洞:

  1. 订单,篡改金额。
  2. 越权,非法访问。

大黑客是如何查看到小v的个人信息的呢?分析下面的实验代码,可以看出,用户登录成功后,显示欢迎界面,点击Your info发起GET请求自己的信息。

b7013ddd1672584460e69ab44f28f028.png

然而,大黑客发现直接越权访问/login.php?name=ailx10,因为数据库已经是连接状态中,随便输入谁的用户名,就可以访问他的个人信息。当然,小v也以其人之道,还治其人之身,大黑客,清华,优秀!

0871888cde6115955a35055872029c52.png

后记:

  • 大黑客:对了,小v啊,上次知乎中秋节挖到的2则漏洞,刘看山给你月饼了吗?
  • ailx10:没打我就算好的了,还要什么自行车....

前端代码:

<!-- index1.html by ailx10 -->
<html>
<head>
<title>ailx10</title>
</head>
<body>

<form action="login.php" method="post">
name:<input type="text" name="name"><br />
passwd:<input type="text" name="passwd"><br />
<input type="submit" name="submit" value="submit" />
</form>
</body>
</html>

后台代码:

// login.php by ailx10
<?php
$con=mysqli_connect("localhost","root","***","hack2018");
if( !$con )
{
   exit("error:" . mysqli_connect_error());
}

if(isset($_GET["name"]))
{
    $name = $_GET["name"];

    $result = mysqli_query($con,"select * from login where `name` = '" . $name . "'");
    $row = mysqli_fetch_array($result);
    if($row)
    {
        echo "success!<br />";
        echo "name:" . $row["name"] . "<br />";
        echo "passwd:" . $row["passwd"] . "<br />";
        echo "school:" . $row["school"] . "<br />";
    }
    else
    {
        exit("faild");
    }

}
else
{
    $name = $_POST["name"];
    $passwd = $_POST["passwd"];

    $result = mysqli_query($con,"select * from login where `name` = '"
              . $name . "' and `passwd` = '" . $passwd .  "'");
    $row = mysqli_fetch_array($result);
    if($row)
    {
        echo "success!<br />";
        echo "<a href='login.php?name=" . $name . "'>Your info</a>";
    }
    else
    {
        exit("faild");
    }
}

?>

参考文献:《Web安全攻防:渗透测试实战指南》电子工业出版社

weixin_39541869
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
localhost login 后面输入什么_Shell 启动类型探究 ── login & interactive
weixin_39886024的博客
11-22 3582
Shell 对程序员来说是必不可少的生产力工具。$ figlet <<< "Hello Shell" _ _ _ _ ____ _ _ _| | | | ___| | | ___ / ___|| |__ ___| | || |_| |/ _ | |/ _ ___ | '_ / _ | || _ | __/ ...
localhost login 后面输入什么_Linux Shell 提示符#和$表示什么意思?
weixin_39638526的博客
11-20 1万+
启动终端模拟包或者从 Linux 控制台登录后,便可以看到 Shell 提示符。提示符是通往 Shell 的大门,是输入 Shell 命令的地方。对于普通用户,Base shell 默认的提示符是美元符号$;对于超级用户(root 用户),Bash Shell 默认的提示符是井号#。该符号表示 Shell 等待输入命令。不同的 Linux 发行版使用的提示符格式不同。例如在 CentOS 中,默认...
localhost login 后面输入什么_Wowza Media Server为什么要改名为Wowza Streaming Engine?
weixin_39611765的博客
11-05 155
Wowza Media Server为什么要改名为WowzaStreaming Engine?Wowza一直坚持技术创新,推动流媒体技术的发展。最新版本Wowza Streaming Engine产品基于过去Wowza Media Server的基础。Wowza的流媒体服务器软件,以前的Wowza Media Server,有过很多突破。第一个版本(Version 1)发布与2007年,...
localhost login
qq_67822633的博客
03-19 2万+
1, localhost login(本地登录):用户名 2, password(密码):输入用户密码。注意:密码不显示 3, 【root@localhost~】# 【】分隔符无意义 Root所在位置代表当前登录用户 @分隔符无意义 Local host 本机名 ~代表当前操作位置 #命令提示符,代表高级管理员命令提示符 $代表普通用户的命令提示符 4, 添加用户的命令:useradd【选项】用户名 案例:添加wmj的用户 注意:只能超级管理员可以添加用户,普通用户不能添加用户 5,...
VM虚拟机localhost login_在qemu中模拟设备
weixin_39969298的博客
10-29 1851
【介绍】本文作为这个文档的补充:in nek:X86上的ARM Linux调试环境。在那个文档中,我们已经可以在x86机器上模拟一个ARM Linux的运行环境。本文我们简单介绍一下怎么在qemu中模拟一个设备给Guest Linux。这对于很多SoC软件使能工程师来说很重要。因为对他们来说,单板都是受限的,而且软件开发要和SoC同步进行,软件开发初期不一定有SoC。再说,SoC模拟阶段Bug一堆...
php str_replace的替换漏洞
10-30
`string(169) "<img src="http://localhost/root/ups/af48056fc4.jpg"/><img src="http://localhost/root/ups/af48056fc4.jpg-1"/><img src="http://localhost/root/ups/af48056fc4.jpg-2"/>"` 解决方法 要解决 ...
mysql_connect localhost和127.0.0.1的区别(网络层阐述)
10-24
主要介绍了mysql_connect localhost和127.0.0.1的区别(网络层阐述),本文从网络通信层面讲解了它们的不同,需要的朋友可以参考下
ST_GinShopManage.rar_localhost/st
09-22
【标题】ST_GinShopManage.rar_localhost/st 是一个与酒店管理系统相关的压缩文件,它包含了在本地主机上运行的应用程序。这个系统似乎是为了管理和优化酒店的日常运营而设计的,可能包括预订、客房管理、客户信息...
login_exactg2t_stickcld_实现用户名密码登录功能_源码
10-02
db.setHostName("localhost"); db.setDatabaseName("your_database_name"); db.setUserName("your_username"); db.setPassword("your_password"); if (!db.open()) { qDebug() 数据库连接失败:" ().text(); ...
MySQL新建用户中的%到底包不包括localhost?
09-09
然而,对于`localhost`,它通常被视为一个特殊的主机名,即使在用户定义为`%`的情况下,其行为可能与预期有所不同。这是因为`localhost`通常通过本地套接字(Unix Domain Socket)而不是TCP/IP协议进行连接,这与...
[root@localhost ~]#
二十一克阳光!的博客
05-22 3914
1. #和$的区别 【# 】代表root权限 【$ 】代表普通用户 更改 /etc/profile 或 ~/.bashrc 等文档,可以用任何符号来代替他们 2. [root@localhost ~ ]的意义 [root@localhost ~ ]# []和@固定格式 root :当前登录的用户名,使用 su 命令改变 localhost: 主机名 ~:当前所在目录,使用 cd 命令改变 提示符,#是超级用户root的提示符;而$是普通用户的提示符 【~ 】代表用户的家目录;root用户对应的是/ro
新用户安装虚拟机和CentOs 64位时出现要求输入localhost ??
m0_37536859的博客
03-22 1万+
如图所示: 装好虚拟机后,要求输入localhost : 小白的我也是不知道什么是localhost 只记得设置过 系统密码: 于是经过搜索后,发现了新大陆: 填入: localhost: root Password: xxxxxxxx 成功: 感谢CSDN 用户:Zlinnn的博客 ...
inux中root@...后面跟的是什么意思,比如localhost
天涯路的专栏
06-30 1万+
主机名。 [root@localhost ~]#分别代表:bai 1、用户名:root 2、主机名:localhost 3、当前路du径:zhi~当前用户的home目录 4、权限标志位: #代表root,$代表普dao通用户 扩展资料: 注意事项 在linux中可能会遇到[root@localhost ~]和root@localhost /]两种目录结构,就比如,电脑装Windows XP 只有一个C盘。 第一个是root的主目录,相当于Windows下的C:\Documents and S
命令提示符[root@localhost ~]#详解
热门推荐
ymz641的专栏
12-22 9万+
打开bash终端,会发现整个屏幕最上方有类似[root@localhost ~]#的提示符,其含义如下: 1.root 表示用户是root 可通过su username命令来更换,后面再演示。 2.@ 为连接符,固定格式 3.localhost 为当前计算机主机名 通过hostname命令查看,redhat和centos默认主机名为localhost.localdomain [root@localhost ~]#hostname localhost.localdomain 4.~ 为当前用户的家目录 ro
localhost
a136106345的专栏
06-08 707
一个特殊的DNS主机名, 代表分配给引用这个名称的计算机的IP地址。 把这个名称看作是提供快速但是不可靠服务的无连接协议。   localhost 指你所在的计算机本身。   在windows系统它成了 127.0.0.1的别名 ,在*nix系统下,查看网卡配置会发现作为本地回环的方式,一定程序上使用localhost比127.0.0.1要快一些。   重要重申loc
Centos7 中[root@localhost /] 和 [root@localhost ~] 的区别及Centos7 的目录结构
学习·交流
05-01 6423
Centos7 中[root@localhost /] 和 [root@localhost ~] 的区别及Centos7 的目录结构 1. [root@localhost /] 和 [root@localhost ~] 的区别 刚进入Centos时, 会显示这个[[root@localhost ~] , 后边让输入命令, 其实此时是在根目录下的子目录root中, ls一下, 会出现系统文件以及曾经下载的软件. 回到根目录, cd  ..(..意味上一级), 此时在根目录下. ls一下, 就会出现根目录
[root@localhost ~]#每个字符的意思
weixin_43468146的博客
02-12 3050
分别代表用户名(root),主机名(localhost),当前路径(~,当前用户的home目录),权限标志位(#代表root,$代表普通用户)
用户 'root'@'localhost' : 编辑权限
我在哈佛念过佛、我在牛津放过牛、我在剑桥建过桥、我在麻省理工理过发。- 程序员之家
03-31 1331
服务器: localhost 数据库 SQL 状态 变量 字符集 Engines 权限 进程 导出 Import 用户 root@localhost : 编辑权限 全局权限 (全选 / 全部不选) 注意:
login.php入侵,Glossword 'login.php' SQL 注入漏洞
weixin_36391973的博客
04-12 519
发布日期:2013-02-05更新日期:2013-02-27受影响系统:sourceforge glossword 1.8.3描述:--------------------------------------------------------------------------------BUGTRAQ ID: 57732Glossword是创建和发布在线多语言字典、词汇或百科全书的系统。Gl...
虚拟机中出现localhost login:之后我应该输入什么
最新发布
05-17
如果你正在使用一个虚拟机,当你看到 "localhost login:" 的提示时,你需要输入虚拟机系统中的用户名和密码来登录。这些用户名和密码通常在虚拟机的文档中有说明。一般默认的用户名是 "root" 或者 "ubuntu",密码也...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值