Ta članek je zrcalni članek strojnega prevajanja, kliknite tukaj za skok na izvirni članek.

Architect_Programmer_Code Kmetijska mreža»Arhitekt Druge tehnologije Varen napad in obramba Grafični vodič za ročno razbijanje gesla za ozadje spletne strani
Pogled: 34384|Odgovoriti: 8

[pokanje] Grafični vodič za ročno razbijanje gesla za ozadje spletne strani

[Kopiraj povezavo]
Objavljeno na 4. 06. 2015 18:47:12 | | |
Včeraj sem prejel asp.net različico izvorne kode javne platforme WeChat, ki mi jo je poslal prijatelj.

Danes ga želim odpreti in pogledati, kaj je v njem, najprej povezati bazo podatkov s SQL Server 2008,


Nato odprite projekt in zaženite crtl+F5 za zagon spletnega projekta, kot je prikazano na naslednji sliki:




Tako sem takoj preveril administratorsko tabelo dt_manager baze podatkov in ugotovil, da je skrbniški račun administratorski, vendar nisem vedel, katero geslo je šifrirano, saj sem bil navsezadnje začetnik


1 1 1 admin 77F992940A0EFD8025F5571B133BA6D5 28LH48 Super admin 13800138000       123@qq.com        0 2013-12-04 01:53:36.000 1000000 0 888 12 186 Ne pove ti NULL 0


Najprej ga vrzi na spletno stran md5, da ga dešifriraš





Našli ste ga, preizkusili nekaj pogosto uporabljenih gesel, kot so 123456, admin, 123, admin888 itd., a se še vedno niste mogli prijaviti


Žal bom preveril asp.net izvorno kodo in ugotovil, da je šifrirana takole:


  1. public Model.manager GetModel(string user_name, string password, bool is_encrypt)
  2.         {
  3.             //检查一下是否需要加密
  4.             if (is_encrypt)
  5.             {
  6.                 //先取得该用户的随机密钥
  7.                 string salt = dal.GetSalt(user_name);
  8.                 if (string.IsNullOrEmpty(salt))
  9.                 {
  10.                     return null;
  11.                 }
  12.                 //把明文进行加密重新赋值
  13.                 password = DESEncrypt.Encrypt(password, salt);
  14.             }
  15.             return dal.GetModel(user_name, password);
  16.         }
Kopiraj kodo


Na splošno se najprej presodi, da v uporabniški tabeli obstaja vrednost soli uporabnika, in če je, se uporabita geslo, ki ga je vnesel uporabnik, in vrednost soli, pridobljeno iz baze podatkov


DESEncrypt šifriran (tudi sam ne vem).Kaj je DESEncrypt?Nato vstavite šifrirano geslo in uporabnika v dal. GetMode metoda,


Za ponovno presojo: v metodi je ukaz select, koda pa je naslednja:


  1. /// <summary>
  2.         /// 根据用户名密码返回一个实体
  3.         /// </summary>
  4.         public Model.manager GetModel(string user_name, string password)
  5.         {
  6.             StringBuilder strSql = new StringBuilder();

  8.             strSql.Append("select id from " + databaseprefix + "manager");
  9.             strSql.Append(" where user_name=@user_name and password=@password and is_lock=0");
  10.             SqlParameter[] parameters = {
  11.                     new SqlParameter("@user_name", SqlDbType.NVarChar,100),
  12.                     new SqlParameter("@password", SqlDbType.NVarChar,100)};
  13.             parameters[0].Value = user_name;
  14.             parameters[1].Value = password;

  16.             object obj = DbHelperSQL.GetSingle(strSql.ToString(), parameters);
  17.             if (obj != null)
  18.             {
  19.                 return GetModel(Convert.ToInt32(obj));
  20.             }
  21.             return null;
  22.         }
Kopiraj kodo


Ne vem, kako to dešifrirati, zato bom zamenjal šifrirano geslo iz baze podatkov! Ropotanje


C# določi prelomno točko na mestu gesla, kot je prikazano na naslednji sliki:




Gack, šifrirano besedilo po pridobitvi 123456 šifriranja je EB51565598856A17 in odločno gre v bazo podatkov, da ga nadomesti z izrekom za posodobitev




Prijava uspešna!




Prejšnji:Rešitev za napako SQL Server 2008 5120 v podatkovni bazi prilog
Naslednji:Ni uspelo kopirati "obj\x86\Debug\" v "bin\Debug\". Po 1000 milisekundah se začne prvi ponovni poskus.

Sorodne objave
 Najemodajalec| Objavljeno na 4. 06. 2015 18:55:35 |


Celoten posnetek zaslona ozadja
Objavljeno na 4. 06. 2015 19:10:15 |
Malce zapleteno, nerazumljivo, učenje in učenje
Objavljeno na 4. 06. 2015 19:48:25 |
Jining Lao Dao Objavljeno 4. 6. 2015 ob 19:10
Malce zapleteno, nerazumljivo, učenje in učenje

Brat Dao, to je javna marketinška platforma WeChat, ki lahko gradi WeChat postaje v serijah!!
Objavljeno na 5. 06. 2015 00:14:39 |
Objavljeno na 29. 07. 2018 16:42:44 |
Uren:Avtorji so prepovedani ali pa je vsebina samodejno blokirana
Objavljeno na 16. 09. 2018 12:05:10 |
Uren:Avtorji so prepovedani ali pa je vsebina samodejno blokirana
Objavljeno na 27. 07. 2019 15:22:15 |
Zdaj ne vem več, pozabil sem vse in tega ne razumem
Objavljeno na 9. 06. 2022 18:40:15 |
Disclaimer:
Vsa programska oprema, programski materiali ali članki, ki jih izdaja Code Farmer Network, so namenjeni zgolj učnim in raziskovalnim namenom; Zgornja vsebina ne sme biti uporabljena v komercialne ali nezakonite namene, sicer uporabniki nosijo vse posledice. Informacije na tej strani prihajajo z interneta, spori glede avtorskih pravic pa nimajo nobene zveze s to stranjo. Zgornjo vsebino morate popolnoma izbrisati z računalnika v 24 urah po prenosu. Če vam je program všeč, podprite pristno programsko opremo, kupite registracijo in pridobite boljše pristne storitve. Če pride do kakršne koli kršitve, nas prosimo kontaktirajte po elektronski pošti.
Mail To:help@itsvse.com