hackthissite realistic mission 2
来源:互联网 发布:windows无访问权限 编辑:程序博客网 时间:2024/06/10 11:05
Chicago American Nazi Party
事件描述
一条来自DestroyFascism的消息:
我听说你很会黑。这个种族歧视组织在用他们的网站http://www.hackthissite.org/missions/realistic/2/召集一群傻不啦叽的混蛋。我们不允许有这种偏执的侵略。你要是可以进入管理员页面并在主页上发消息,我们会永远感激你。
助人为乐
我们来试试看帮他进入管理员页面吧!
进入网站,看到黑压压的一片,好像没有神马地方可以进入管理员页面,按Ctrl+A选中整个页面,突然注意到最底下多出来一个Update的链接,原来是把颜色设为黑色,隐藏在背景里了,点击进入http://www.hackthissite.org/missions/realistic/2/update.php后,哟~管理员页面出来了!但是看上去貌似要输入用户名和密码才能进入,那不知道怎么进入呢?
试试看SQL注入吧!
如果这个用户名密码验证的SQL语句为strSql = "SELECT *FROM tbl WHERE username='" + username.text + "' AND password='" + password.text + "'";
那么假设在用户名文本框里输入 ' or 1=1-- ,那么SQL语句变为SELECT * FROM tbl WHERE username='' or 1=1-- AND password=''
尽管username为空串,但是和1=1这个恒真的等式或运算以后,SELECT后的结果就是表里所有的数据,而1=1后面的--把后面的AND password=''注释掉了,如果程序里面再判断只要结果不为空即登录成功的话...嘿嘿~
Mission 2 complete!
- hackthissite realistic mission 2
- hackthissite realistic mission 1
- Hackthissite realistic 6
- hackthissite Realistic&nbsp…
- HackThisSite/Basic 2解决方案
- PythonChallenge Mission 2
- HackThisSite/Basic 1解决方案
- HackThisSite/Basic 3解决方案
- HackThisSite/Basic 4解决方案
- HackThisSite/Basic 5解决方案
- HackThisSite/Basic 6解决方案
- HackThisSite/Basic 7解决方案
- Hackthissite Javascript-Writeup
- Hackthissite Basic-Writeup
- hackthissite basic 1-11
- Q91:真实地模拟透明材质(Realistic Transparency)(2)——Triangle Meshes
- 读书笔记:Realistic Ray Tracing
- Realistic looking bow waves
- 笔记本手机防盗软件
- Android-StageFright之数据流的封装和AwesomePlayer流程
- 判断文件或文件目录是否存在
- 扇形陷阱和断层陷阱(即当一个实体有多个一对多关系时)
- 数学之美番外篇:平凡而又神奇的贝叶斯方法
- hackthissite realistic mission 2
- linux命令---修改密码
- uva 12018 Juice Extractor 谷歌杯程序设计大赛
- linux命令---scp上传目录
- 一次update动作中T-SQL与PL/SQL的差异
- WCF部署到IIS
- POJ 3176 Cow Bowling DP
- 个人理财计划制定步骤
- 各种界面开发工具 MFC,WTL,QT,wxWidget,GTK+