网站教程 ·

利用代码入侵千月影视双端APP后台详解以及防护

利用代码入侵千月影视双端APP后台详解以及防护

现在网上源码一堆又一堆,找个源码不是这里后门就是那里bug。最近又有说千月的随便进后台改数据乱七八糟的,事实上也就是利用了源码内的key值还有你后台的默认用户名来完成的,现在就来说一下这个代码的问题

域名+/login/login/yzcode?username=admin&key=465454&password=123456

我来搭建一个千月测试一下如下图:

利用代码入侵千月影视双端APP后台详解以及防护 网站教程 第1张

我后台使用的默认的账号admin 密码是随便打的,很容易就显示成功,然后再执行另一段代码

app2.ymaaa.cn/login/login/repass?username=admin&key=465454&password=123456

利用代码入侵千月影视双端APP后台详解以及防护 网站教程 第1张

也是显示成功,那么我现在进后台账号密码就是admin 123456了。咱们研究下这个代码的原理

首先看下这个代码,如果你的后台不是  ./login/login/index.html  这个目录,完全不需要害怕。这个代码目录都不正确的话肯定是入侵不了的,然后就是这个admin用户名,admin这个用户名是千月影视双端APP后台默认的用户名,key这个465454 这玩意也是源码数据库里已经存在的东西,现在源码泛滥这么厉害肯定太多人知道了,密码是123456,说白了这玩意连注入都算不上,源码基本上每人都有,登录成功还是失败,注册账号找回密码这些源码里格式都有,只是刚好用了这个格式来测试,刚好你的后台账户存在而已,只能说是取巧了

接下来我修改我的后台管理员账号密码

利用代码入侵千月影视双端APP后台详解以及防护 网站教程 第3张

我把账号修改成admin123 密码 80sw.cn

然后来用他的代码测试,

利用代码入侵千月影视双端APP后台详解以及防护 网站教程 第4张

.....我只能说句呵呵,不是什么代码都能破后台的,需要的必要条件就是知道你的后台管理员用户名,没有你的用户名他就进不去了。既然都测试那么防护的方法也就简单了,直接修改你的后台管理员用户名就行了,不把管理员用户名告诉别人就不怕被破了,这篇文章分享给那些被黑过后台的小朋友们.....不要觉得黑你的人技术多么高大上,事实上只能说千月源码他比你看的多,比你看源码看的仔细,然后碰巧遇到不该后台默认用户名的小白白。

总之一句话,做站后台账号密码不要默认,一定要修改,不然总有一天会吃亏的,好了就分享到这里,如果你有什么好的题材可以投稿给我哦,吾爱每天都会分享一些好东西,感谢各位的支持!

 

 

参与评论