今天加拿大中部时间早上不知道几点, 里发了一个网站,
后台登陆入口本地构造实例
。说找到了用户名密码,但是找不到后台。大家找了一下后台,结果登陆不了。
最后判断,管理员的登陆入口被删,普通账户的登陆入口是大家找到的。
将本地构造登陆入口前,我先说几点。
后台登陆地址消失,有可能是因为网站是破鞋。 上去以后,怕被别人上去,就删掉了后台登陆。或者干脆删掉生成验证码的文件。带验证码登陆的后台消失或者验证码生成文件消失,都极有可能是破鞋。
如果单纯是登陆入口没有了,而验证登陆是否正确的文件还在,而登陆入口又没有验证码,那么,这个后台极有可能是管理员跟你玩花招,这也是本文要讲的,本地构造登陆入口。
群里发了这样的一个站:
我们暂且不说管理员账号和密码哈,因为这不是本文探讨的范畴之内。黑阔已经爆出了管理员账号和密码,正找后台呢。
找到一个登陆页面:
wwwxxx.cn/user_Login.asp
/user_ChkLogin.asp
这个页面一个是登陆地址,一个是登陆信息验证的。问题出在,这里其实不是“后台”的登陆,而是普通会员的登陆页面
试想一下,普通会员的登陆叫做user_login,而验证叫做user_chklogin
那么管理员的登陆的是不是叫做admin_login,而验证叫做admin_chklogin呢?
事实证明 /admin_ChkLogin.asp确实存在,而admin_login呢,就不存在
而admin_chklogin.asp显示,登陆入口应该是admin_login.asp,访问却显示404,
那么答案就是,
1,破鞋,几率不大,因为删除的话还不如删除chk_login文件实在,管理员还不容易发现
2,管理员删了,几率不大,为什么要删呢?他自己还用不用了?用,可以用本文的方法,不过太麻烦了吧?
3,管理员改名了,有可能
其实这些都不是答案,答案是怎么突破呢?有人说没法突破。
没法突破我干嘛要写这文章?验证登陆的文件又不是admin_login.asp,这个文件只是一张表,没了我们自己造一个好了
就好像填表申请什么东西,发申请表的地方没了,没有地方领申请表,
电脑资料
《后台登陆入口本地构造实例》(https://www.unjs.com)。你真笨啊?你照着别人的申请表画一个,或者复印一个,写上你自己的信息不就行了?
我们来看看user_login的表单,表单递交到user_chklogin.asp
方法为post,共有4个变量,分别是用户名username,密码password,cookie时间cookiedate,和来源页面comeurl
那么猜测管理员的登陆表单应该也是这些内容:username,password,cookiedate,comeurl
不同的地方就是表单递交到admin_chklogin.asp
所以我们可以构造出这样一个页面:
将上面的代码保存为xx.html,就是我们自己构造的管理员登陆入口了。
只是一张“申请表”,将他放在外面,或者放在自己家,没有区别,反正都是提交到admin_chklogin.asp文件那里去验证登陆。位置问题而已,打开输入用户名密码提交,然后就能登录后台了