想非法改成绩的不怕死的同学可以看看~
很多学校都用的这个系统管理学校教务吧了,闲话少说.找个倒霉鬼的学号(很多学生学号和密码都是一样的),登陆上去,在信息查询的教室查询,前面随便选,后面And
3 union select NULL,owner from all_tables
点击确定后,下面有个教室,哈哈,所有数据库全部都出来了!然后呢表,找列,找用户名和密码,登陆,该成绩…
其他方面我就不多说了,如有需要我把其他代码发出来,不过我们学校的表竟然上百个,找了几个小时只找到一些成绩表…
第二个漏洞是在登录时点忘记密码,进入后将这个页面另存为本地,然后修改内容,将form的action改为正方系统的aspx页面,将javascript的一些验证函数去掉,保存后点开,在三个空白处填上:
’ or ‘1’=’1 —
这样就会爆出密码(但是没用户名…),可以爆出第一个学生和第一个老师的密码!
本文章只供学习之用,不要非法目的云云,如果打官司本人不负任何责任(没办法,哈哈)…
2010年08月19日 21:16
文章知识点与官方知识档案匹配,可进一步学习相关知识MySQL入门技能树首页概览31292 人正在系统学习中
来源:Pleafles
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!