Lấy được dữ liệu admin nhưng không log in thành công được

[taskmasterfree]

Mình thực hành dùng sql injection bằng sqlmap và lấy được dữ liệu của bảng admin từ 1 website nhỏ. Mình cũng mò được trang login.php của trang. Tuy nhiên khi mình login vào thì trang báo lõi incorrect password. Form đăng nhập phía client cũng không có gì:

Username:     

Password:

còn password thì có dạng:

$1$po6WenQ1$W2PfQFeZdODhsif[COLOR=#FF0000]---------[/COLOR]

Vậy có khả năng là password đã được encrypt trước khi lưu vào bảng không mọi người? Và nếu gặp trường hợp như thế này thì nên xử lý như thế nào?

P/S: Mình làm ethical hacking nên mình không muốn đổi password cũng như thêm user trong bảng admin.

 

Đoạn password bạn tìm ra đang dưới dạng mã hóa rùi. Trường họp này bạn nên báo cho quản trị website biết lỗi để khắc phục. Nếu muốn chọc linh tinh (Khuyến cáo) bạn có thể tìm các tool giải mã đoạn pass mã hóa trên nhưng khả năng rất khó.

 

taskmasterfree:

1. Về kỹ thuật: đoạn mã bạn lấy là mật khẩu đã được mã hóa md5 có kèm salt trước khi lưu vào cơ sở dữ liệu. Để đăng nhập được thì có thể giải mã, thay đổi hash trong cơ sở dữ liệu hoặc liên hệ admin để hỏi cho nhanh. >

2. Trong trường hợp này bạn nên liên hệ với admin qua email sau để báo lỗi nhé. :">

 

taskmasterfree:

1. Về kỹ thuật: đoạn mã bạn lấy là mật khẩu đã được mã hóa md5 có kèm salt trước khi lưu vào cơ sở dữ liệu. Để đăng nhập được thì có thể giải mã, thay đổi hash trong cơ sở dữ liệu hoặc liên hệ admin để hỏi cho nhanh. >

2. Trong trường hợp này bạn nên liên hệ với admin qua email sau để báo lỗi nhé. :">

Hôm qua lên stackexchange hỏi nên biết về bcrypt rồi. Tuy nhiên bị chửi không còn gì luôn