我仅将此脚本用于个人目的,而不是针对任何人或任何网站/服务器。
暴力 JavaScript 节点攻击。 这种攻击包括当我们使用有效或无效的 sql 语句提交登录表单时,知道服务器返回不同的消息。 例如,第一步是知道用户名的长度。
为了得到这个,我们可以在用户名字段中提交: ' 或 length(username) = 1 --
我们将 1 切换为 2, 3, 4 ... n 直到我们得到与“错误的用户名”不同的错误(在我的例子中,这是“无效的密码”),所以我们知道这是正确的长度。 我们可以对密码字段做同样的事情,我们得到两个长度。
然后,我们可以启动脚本,它利用了相同的错误,基本上它传递了一个带有“like”sql 语句的消息,末尾有一个 %,所以任何结尾都适合。 然后,我们开始逐字符提交,直到我们获得完整的密码/用户名内容。
例如:' 或密码如 'a%' --
它使用 Nod
