题目
消息:我被告知您具有相当令人钦佩的黑客技能。好吧,这个种族仇恨团体正在使用他们的网站来组织大量无知种族主义者的混蛋。我们不能允许这种顽固的侵略发生。如果您可以访问他们的管理员页面并将消息发布到他们的主页,我们将非常感激。
过程
ok 进来什么也没有。先看看网页源代码
发现了一个update.php的链接,点开看看。
一个登录页面,什么也不知道。这个时候就需要SQL注入了
恶意填入:usename: 1’or’1’=‘1 pwd: 1’or’1’='1
这时将导致原本正常的SQL字符串被填为
“SELECT * FROM users WHERE (name = ‘1’ or ‘1’=‘1’) AND (pwd= ‘1’ or ‘1’=‘1’);”