曾经尝试过暴力破解MD5密文，在不明所以的情况下，暴力破解成功率微乎其微，虽有传闻山东大学的王小云教授破译MD5加密法，但终究也未见什么先进的破解软件或算法出来，因而对MD5是非常信任的，一直也都认为只要密码设置复杂一些，数据库文件名以及路径改不改不是非常重要。注意密码一定要复杂一些，如果为纯数字10位以下的密码，有些破解软件几秒内就能破解出来的！

今天看了一篇文章说有些管理员没有及时的清空日志的习惯，而这些日志都保存在数据库中，才觉得事情没有想像中的简单，打开Google搜索data/dvbbs7.mdb，下载了一论坛数据库，打开Dv_log表，复制其l_content字段中的所有内容粘贴到记事本，搜索password，下边是我提取出来的关键信息：


usergroups=9&userid=98&password=111111&quesion=QQ&answer=&sex=0&UserPhoto=&userEmail=bluenoise@sina.com&homepage=&face=images%2Fuserface%2Fimage1.gif&width=32&height=32&oicq=&icq=&msn=&aim=&yahoo=&uc=&usertitle=&article=1&Userdel=0&userisbest=0&userm

username2=fairy8cn&password2=123456&username1=fairy8cn&isdisp=0&Submit=%CC%ED+%BC%D3

oldusername=admin&username2=admin&password2=666666&AddAcceptIP=&adduser=admin&id=1&Submit=%B8%FC+%D0%C2

usergroups=9&userid=15643&password=123456&quesion=%CE%D2%CA%C7%C2%CC%C0%E1%D1%FD%BE%AB&answer=&sex=0&UserPhoto=&userEmail=296460355@qq.com&homepage=&face=Images%2Fuserface%2Fimage12.gif&width=64&height=64&oicq=&icq=&msn=&aim=&yahoo=&uc=&usertitle=&ar

用fairy8cn|123456、admin|666666便可成功登录！userid的只须去论坛根据其值搜索出对应的用户名即可登录！

暴汗啊，教训是深刻的！做为网站管理员，切不可大意，否则换来的可能会是惨痛的代价！！

上一篇: Javascript、VBscript和C#中使用正则表达式
下一篇: 说说背景音乐
文章来自: 本站原创
引用通告: 查看所有引用 | 我要引用此文章
Tags:
最新日志: