"inurl:/adminlogin.asp"

  • Hallo Community,

    Ich zeige euch heute wie man einen Adminlogin umgeht.

    Seiten wie '.asp ' sind meist Vulnerable und somit umgehbar.

    Schritt#1:

    Suchen wir in Google den Adminlogin.asp einer Seite: "inurl:/adminlogin.asp"

    Dort finden wir auch direkt eine Seite ( Krupajal Management Studies : Faculty )

    Schritt#2:

    Der Username lautet meistens: admin oder administrator

    Geben wir in Passwort ein: ' or '1'='1

    Dieser Vorgang verwirrt die Seite und gibt euch den Eintritt als Administrator.

    Schritt#3:

    Es hat geklappt und jetzt seid ihr als Administrator im Login.

    Es hei߸t die Seite ist vulnerable.

    Herzlichen Glückwunsch

    Es gibt aber noch andere Arten:

    ' or '1'='1

    ' or 'x'='x

    etc...


  • Die Datenbank scannt immer rows, da ist nur 1 row der sagt, dass es keinen Grund gibt, dass der Login inkorrekt ist.

    Und jetzt der echte Grund.
    Seit wann scannt die Datenbank immer - oder jemals - rows?
    Bevor du so ein Tutorial veröffentlichst, lern mal warum etwas so ist, wie es ist.


    GATGAT
    Deine Rechtschreibung hat sich ja gebessert, aber ist immer noch nicht perfekt ;). *Lob*

  • Ich denke aber dass du dies selbst wei߸t.

    Nicht wirklich, zweitens habe ich dies ernst gemeint und 3tens ist das hier Offtopic. Ich möchte wissen ob einer hier wei߸, warum dieser "Trick" funktioniert...

  • Naja ich erkläre es mal..

    Wenn man als Usernamen Johnix und als Passwort "passwort" eingibt wird z.B. dieser Query ausgeführt: SELECT * FROM users WHERE username = 'Johnix' AND password = 'passwort'

    Wenn man jetzt aber als Passwort ' OR '1'='1 eingibt kommt das dabei raus:

    SELECT * FROM users WHERE username = 'Johnix' AND password = '' OR '1' = '1'
    und das hei߸t soviel wie: Wähle alles aus der Tabelle users aus, wo der Username = Johnix und das Passwort = [nichts] ist ODER 1 gleich mit 1

    und weil 1 immer gleich mit 1 ist wird man eingeloggt.

Jetzt mitmachen!

Sie haben noch kein Benutzerkonto auf unserer Seite? Registrieren Sie sich kostenlos und nehmen Sie an unserer Community teil!