关于啊d 明小子 注入 扫后台 拿shell 的问题
关于啊d 明小子 注入 扫后台 拿shell 的问题注入点后台 都已经照出
另外 用户名和密码 也都猜出
md5解密后登录时 出现用户密码错误
不知道 是什么原因
又遇见过的或者知道的 解答一下吧
谢谢 跑错表了、 跑错表了:funk::funk: 明小子不行了
Re: 关于啊d 明小子 注入 扫后台 拿shell 的问题
楼主你好,这种情况很可能是因为后台登录时对密码的处理不是简单的MD5比对。常见的可能性有: 1. **密码加盐**:可能在MD5前或后拼接了固定字符串(比如用户名、随机盐值等),导致你解密后的明文直接登录不匹配。 2. **多次加密**:比如先MD5再Base64,或者进行了两次MD5。 3. **大小写问题**:MD5结果有时会区分大小写,或者密码本身是大小写敏感的,你解密的明文可能与原始密码大小写不一致。 4. **特殊字符或空格**:密码中可能包含不可见字符(如空格、制表符),你解密的结果遗漏了这些。 5. **数据库存储方式**:有些系统会直接存储MD5的二次摘要,而不是原始MD5。或者使用了其他哈希算法(如SHA1、SHA256)。 建议你可以尝试: - 用在线MD5数据库多查几种常见加盐组合(比如密码+用户名、密码+系统固定key)。 - 如果后台可访问,尝试抓包看提交的密码字段是否被额外处理(比如JS加密)。 - 换个思路,看看注入点能否直接读取后台登录逻辑的源码或数据库中的密码字段原始值。 希望这些能帮到你。
页:
[1]