Hack this site realistic 8

Hack this site realistic 8

这一关跟往常一样,以一个求助故事引入本关的任务。这关讲的是美国一个最富有的人悬赏1千万来抓住所有黑客,并将钱存在美国银行;一个黑客求助将此人的钱转到叫dropCash的账户,并且清除记录,做到神不知,鬼不觉;

1、首先,看一下描述部分,这一关的任务,有三个:(1)、找到富豪garry hunter的账户;(2)、将钱转到dropCash账户;(3)、清除日志
在这里插入图片描述

2、进入网站,看了看,有几个功能,试着自己注册了一个账户beijing,发现里边有“转账”功能,和清除日志功能:
在这里插入图片描述

3、其中另外一个显示用户信息的功能,试着输入了几个用户名,如admin,居然显示出来了,于是尝试猜想是否可以sql注入,输入’ or 1=1–,发现果然成功了,显示了一万多个用户,大概看了下,都是全世界玩家过关的时候注册的用户名…,这为找到garry hunter的账户提供了麻烦,搜索了一下页面,有400多个带gary的人名,发现一个账户比较像:
在这里插入图片描述

4、到这里后,garry hunter的账户基本可以确定,只要登录到账户里就可以执行转账和清除日志的功能,在这里我一直想的是如何破解密码等等;但是不知道怎么操作;实在不会,搜了一圈发现了别人的破解方法,根本不用破解密码,也可以达到同样的类似“登录操作"的目的;那就是修改cookie!

首先,在自己注册的用户的登录页面,有两个cookie:
在这里插入图片描述
将accountusername修改成garry hunter的账户名:
在这里插入图片描述
然后,在页面上转账的输入框里输入帐户名dropCash ,金额输入10000000,点击move money按钮,提示第一步成功!
在这里插入图片描述

接着,该清除日志了,在自己注册账户的登录页面,查看清除日志按钮的源代码:
将此处修改为GaryWilliamHunterSQLFiles,点击清除日志按钮,即可过关。
在这里插入图片描述

这一关用到了sql注入、修改cookie,修改源代码的知识。sql注入大概了解,cookie修改也会,修改页面代码也会,但是对为什么修改cookie中的用户名而不修改密码以及修改页面代码 能实现这种效果却不太清楚,导致在sql注入之后不知道怎么操作,待请教高手之后再来补充知识。

  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值