在使用discuz官方论坛里的tools工具发现没有用
于是分析网站日志,发现登录失败日志D:\wwwroot\网站root\data\log\202307_illegallog.php,里面保存时间 、用户名、密码、ip
通过log文件名搜索代码,定位到写入log的函数地方,从而找到密码认证的地方。通过分析
打印变量到日志作为调试
$errorlog = dhtmlspecialchars('$action'.$action);
writelog('illegallog', $errorlog);
文件内容搜索的方式配合最终定位到如下代码
if(empty($user)) { $status = -1; } elseif(!$_ENV['user']->verify_password($password, $user['password'], $user['salt'])) {//:`$_ENV`是PHP的一个全局变量,用于存储环境变量。这里的`$_ENV['user']`表示在环境变量中用户对象的引用。->对象操作符,类似java的。verify_password这是一个方法调用,调用了名为`verify_password`的方法,并传入三个参数:用户提供的密码`$password`、存储在用户对象中的密码`$user['password']`通常是经过加密处理的字符串。和盐值`$user['salt']`一个随机的字符串(盐值),用于增加密码的安全性。该方法的作用是将用户输入的密码与存储在用户对象中的密码进行比较,以验证密码的正确性。在方法内部,通常会使用一定的算法将输入的密码与盐值进行处理,然后与存储的密码进行比较,以判断密码是否匹配。密码 ddd120508,哈希 be7982a98b4edd3cc8d67369d1ec275e,盐 空 $status = -2; //测试发现返回-2提示登陆失败 //
我们注意到是使用的是PHP内置方法
verify_password
进行密码匹配
因此修改数据库 pre_ucenter_member 的password 改为 7f08d654bc1baef5c810ede044fb677c ,salt改为 6950e2
此时密码就是12345678