网站的后台管理帐号和密码都小米手机忘记帐号密码了该怎么办

来源:蜘蛛抓取(WebSpider) 时间:2016-12-05 07:43 标签: 华为帐号忘记密码
------分隔线--------
栏目导航List
最新文章Recommend
热点文章Hot
推荐模板Templets
扫码关注我们查看:21000|回复:18
公司的网站,让我管理优化。 要添加产品什么的。 只给我个帐号密码。 我连怎么进都不知道。求高人指点。。。
;P1 木有admin
我是棒棒糖~~
先找到后台入口
那谁知道后台怎么进啊,我找了半天找不到啊
中级工程师
你门都找不到怎么优化......怒删主目录
网站文件在哪,自己看文件夹名称分析罗
高级工程师
找下login文件登陆看看吧。
版主,并不是一种荣耀,而是一种坚持 ...
引用:原帖由 魅力天空 于
16:01 发表
公司的网站,让我管理优化。 要添加产品什么的。 只给我个帐号密码。 我连怎么进都不知道。求高人指点。。。 后台入口地点具有不通用性,建议咨询网管或编程人员
版主,并不是一种荣耀,而是一种坚持和责任!
引用:原帖由 winters 于
11:20 发表
找下login文件登陆看看吧。 没有这个文件
高级工程师
引用:原帖由 魅力天空 于
11:38 发表
没有这个文件 什么都找不到就问人呗。问供应商,问前任。。。
亲们,我的根目录里面就只有web这个文件夹,另外两个db,和log是空文件,这让我如何是好,那人就给了我账号密码,现在人都找不见了。郁闷啊:'(
恭喜楼主贺喜楼主:lol1 :$1
得先找到后台
&&看你用的什么类型的网站
& &&&去网上找找默认的网站后台地址
& &&&去找以前管理过网站后台的工作人员咨询一下
& &&&还不行的话,试试一些工具找一下后台,如:明小子,啊D等。。。
有的后台直接可以在主页上登陆,有的后台需要单独的路径,不过默认路径都差不多。
初级工程师
用下几个常用路径看看能进不?实在不行就只有去根文件里慢慢 扒 了~~
最好找直接责任人。找不到责任人的话就盲探或者想法字吧。
不过你要是放心的话可以把公司网站地址贴出来,大家帮你找找后台地址- -。
引用:原帖由 twym123654 于
09:43 发表
恭喜楼主贺喜楼主:lol1 :$1 +1.哈哈,应该有个网站的
中级工程师
如果是外包的,直接找开发商,如果是自行开发的,能拿到源代码的话,在里面按关键字搜索网站后台万能密码
【娱乐休闲】
【生活服务】
【电脑网络】
【文体教育】
【行业部门】
文章浏览→→→网站后台万能密码网站后台万能密码
&这万能密码好几年前就有了。我都不当回事,结果这次真派上用场了,还真进了后台了&&网站后台万能密码就是在用户名与密码处都写入下列字符,如果知道管理员帐号的话直接添帐号,效果会更好!例如我们要利用第一条就是:用户名:"or "a"="a密码:"or "a"="a*********************************************************1:"or "a"="a2: '.).or.('.a.'='.a3:or 1=1--4:'or 1=1--5:a'or' 1=1--6:"or 1=1--7:'or.'a.'='a8:"or"="a'='a9:'or''='10:'or'='or'原理都是利用SQL语法来利用注入,其实这也是注入的一种,都是因为提交字符未加过滤或过滤不严而导致的.其实万能是没有的,默认是很多的,adminadminadminadmin888少数ASP网页后面登陆时可以用密码1'or'1'='1(用户名用admin等试)登陆成功。这一般也是SQL注入的第一课,原理涉及到SQL语句……验证登陆时,如果密码=输入的密码,那么登陆成功,把1'or'1'='1带入即“如果密码=1或者1=1那么登成功”由于1=1恒成立,且“密码=1”与“1=1”是逻辑或的关系,则整句为TRUE,即登陆成功。这样说懂不?其实后台万能登陆密码这个称号真的不那么专业,或许叫做“后台验证绕过语句”还好些,不过前者叫得普遍些。这个语句就是'xorxor估计很多人都知道,或者听说过,不就是异或么,他和or以及and都是一样的,但是or进行的是或运算,and进行的是与运算,异或xor则是不等的则是真,即比较的两个值不相同的就对,相同的就错,我搜了一下网上,几乎没有过滤参数,可以用经典'or'='or'进去的,'xor都可以进去,大家可以尝试一下。对网站万能密码'or'='or'的浅解'or'='or'漏洞是一个比较老的漏洞了,主要是出现在后台登录上,利用这个漏洞,我们可以不用输入密码就直接进入系统的后台.它出现的原因是在编程时逻辑上考虑不周,同时对单引号没有进行过滤,从而导致了漏洞的出现.先给大家简单介绍下漏洞的原理吧,只要大家搞懂了原理,就可以自己去找这样漏洞的系统了.1:语句:''or'='or'&&a'or'1=1--&&'or1=1--&&"or1=1--&&or1=1--&&'or"="a'='a&& ') or('a'='a等等,2:分析利用:我从站长网站下载了"织梦工作室企业全站程序(原良精)修正美化版"源代码,从中找到后台登录的页面"login.asp"其中有以下一段代码:&%(1)pwd = request.form("pwd") "获取客户端输入的密码,再把值赋给pwd"(2)name = request.form("name")&&"获取客户端输入的用户名再把值赋给name"都没有进行任何过滤(3)Set rs = Server.CreateObject("ADODB.Connection")"利用Server对象的CreateObject方法创建ADO组件的Connection对象"(4)sql = "select * from Manage_User where UserName='"& name & "' AndPassWord='"&encrypt(pwd)&"'"&&"将用户名和密码放入查询语句中查询数据库"(5)Set rs = conn.Execute(sql) "执行SQL语句"(6)If Not rs.EOF = True Then&&"当前的记录位于Connection对象的最后一个记录之前"(7)Session("Name") =&&rs("UserName")&&"将UserName的属性赋给Name的Session自定义变量"(8)Session("pwd") =&&rs("PassWord")&&"将PassWord的属性赋给pwd的Session自定义变量"(9)Response.Redirect("Manage.asp")了&&"利用Response对象的Redirect方法重定向"Manage.asp"(10)Else(11)Response.Redirect "Loginsb.asp?msg=您输入了错误的帐号或口令,请再次输入!"(12)End If(13)end if%&&&从这段代码中,我们可以看到后台是采用"Session"验证的,大家知道,还有一种是采用"cookie"验证的,不过原理相同,从分析中,我们可以看到后台登录没有对客户输入的用户名和密码进行任何过滤,就交给了SQL语句查询,如果查询的记录是位于最后一条记录之前,刚设置Session变量UserName,PassWord的值分别为Name,pwd,并重定向到"Manage.asp".&&从以上分析中.出现了很大的安全漏洞,问题就出现在第一,第二句,它们的功能是获得客户端输入的用户名和密码却没有进行任何的过滤,也不会去检查我们输入的数据,这样,我们就可以对其实行攻击,要实行攻击这种漏洞的问题关键就是使SQL语句的查询结果为真,这里我们又要用到or和and的逻辑运算的知识,我这里不详细的说,就讲二点,第一:优先原则----出现or同时又出现and时,则先运算and运算符。第二:and运算符意思,是"且",就是对二个表达式进行逻辑"与"运算(我这儿说的是"且"),而or运算符的意思,是"或",就是对二个表达式进行逻辑"或"运算。下面是二个运算符的运算结果:&&and逻辑运算的结果:真----真===真;假----真===假;&&真----假===假; 假----假===假.&&or逻辑运算的结果:真----真===真;假----真===真;&&真----假===真; 假----假===假.大家自己可以体会下&& 下面我们先来看代码中的SQL查询语句" sql ="select * from Manage_User where UserName='" & name& "' AndPassWord='"&encrypt(pwd)&"'&&&"&&,要使这条语句执行为真,我们就要构造一个特殊的用户名,就可绕过程序的验证,进入后台,我们只要在用户名处输入'or'='or',密码处随便输入字符(我们就输入000吧),这样上面的SQL语句就变成了sql= "select * from Manage_User where UserName=''or'='or''andPassWord='000'"那么where后的语句转换成逻辑语句后为假or真or假and假,通过简单的运算,则最终为真,而SQL语句的查询结果也变成真了,这样大家可能还不怎么听得懂,我换成另一条语句:1'or 1=1 or '1'='1,那么SQL语句就变成了sql = "select * from Manage_User whereUserName='1' or 1=1 or '1'='1' andPassWord='000'"大家知道,在逻辑表达式中'1'是为假,1=1总为真吧,'1'='1'也为真,而密码我们是随便输入的所以为假,那么where后的语句转换成逻辑语句后为假or真or真and假,最终的运算结果也为真.这些大家自己慢慢的去实践,去体会,我相信大家都会搞懂的,大家还可以自己构造一些语句去验证下.&&对于Session验证的,我们还可以进行Session欺骗(大家都知道cookie欺骗登录了吧,呵呵),假设我们知道这个系统的管理员的用户名为admin,那么我们只需在密码处输入的语句使它的运算结果为真就行了,这儿留给大家自己构造.coolie验证的登录原理和Session"验证的相同,只要大家构造的语句使的SQL的执行为真就行了,这是关键哟,大家可记住了!所属分类:→&&&&作者:新浪博客&&&&时间: 0:00:00
All Right Reserved

我要回帖

更多关于 华为帐号忘记密码 的文章

 

随机推荐