对某高级技工学校网站的安全检测和加固

核心提示： 图5 获取管理员的md5值（3）破解md5加密值发现前台和后台管理员的MD5值都是一样的，如果能够破解，对某高级技工学校网站的安全检测和加固(3)，那就省去了很多事情，将MD5加密值拿到cmd5上面破解却提示没有找到，即使破出密码来也没办法登陆后台啊，再说即使能够登陆后台也不一定能拿到we

图5 获取管理员的md5值

（3）破解md5加密值

发现前台和后台管理员的MD5值都是一样的，如果能够破解，那就省去了很多事情，将MD5加密值拿到cmd5上面破解却提示没有找到，如图6所示，dvbbs8.2好像也没有爆出啥cookies欺骗的漏洞，看来管理员也不是白给的。此路不通。

图6 md5加密值查找未果

5.再次进行SQL注入检测

DVbbs数据库的用户密码加密值拿到了，由于CMD5网站查不到结果，估计自己使用md5cracker破解也需要很长时间，看来需要换一种思路，看看能否突破，实在不行再进行暴力破解！

因此首先回到网站首页，用啊D注入工具扫了一下注入点，结果还真找到一个注入点，一会就跑出了用户名为admin，密码为“6bfb281ef3d9********4b9f202ecd2f”，如图7所示。

图7使用啊D注入工具获取管理员密码

可是将该Md5值拿到www.CMD5.com网站去查询，其查询结果提示需要购买，如图8所示，CMD5真不厚道，俺检测容易吗，要花钱，拉到吧！。顺便用啊D扫了下后台也没有发现，即使破出密码来也没办法登陆后台啊，再说即使能够登陆后台也不一定能拿到webshell啊。看来此路也不通。