Pokaż wyniki 1 do 5 z 5

Temat: MySQL

  1. #1
    Zarejestrowany
    Jun 2008
    Postów
    2

    Domyślnie MySQL

    Hej.

    Ostatnio bawiłam się w taką grę typu "HackMe".

    No i... natknęłam się na poziom w którym mam pole tekstowe do wpisania hasła.
    Po wpisaniu byle czego wyskakuje:

    Kod php:
    SELECT COUNT(*) AS Dupa FROM Hasla WHERE Pass "[tuhasloktorewpisalam]" 
    No i kompletnie nie rozumiem o co chodzi. Bawiłam się nieco bazami danych, ale nie mam zielonego pojęcia jak wydobyć HASŁO z bazy :<

    Pozdrawiam.

  2. #2
    Zarejestrowany
    Feb 2008
    Postów
    19

    Domyślnie

    A wpisz w pole tekstowe to:
    Kod:
     " or '1'='1' " #

  3. #3
    Zarejestrowany
    Jun 2008
    Postów
    2

    Domyślnie

    Zadziałało, dzięki Ci.

    Byłabym wdzięczna jeszcze jakbyś mi wytłumaczył na jakiej zasadzie to działa

  4. #4
    Avatar elceef
    elceef jest offline Proces bezczynności
    Zarejestrowany
    Apr 2008
    Postów
    200

    Domyślnie

    Wartość logiczna wyrażenia po słowie kluczowym WHERE będzie zawsze prawdziwa, ponieważ zgodnie z prawami logiki wyrażenie składające się z dwóch lub więcej zdań połączonych alternatywą będzie prawdziwe jeśli prawdziwe jest którekolwiek z tych zdań. W tym przypadku prawdziwe jest zawsze równanie '1' = '1. W efekcie zostanie zwrócona liczba wszystkich rekordów w tabeli Hasla.

  5. #5
    Zarejestrowany
    May 2008
    Postów
    99

    Domyślnie

    Jeszcze moje słowo wyjaśnienia: stron internetowych w przeciwieństwie do programów się (zazwyczaj?) nie kompiluje, co daje możliwość wpisania jakiegoś fragmentu kodu. Zaczynając od [ " ] informujesz stronę, że w tym miejscu kończy się ciąg znaków hasła i zaczynają instrukcje mówiące co z tym dalej zrobić. W ten sposób można wszczepić w stronę jakiś kod, a w rezultacie ją złamać (no chyba, że filtrują znaki, które wprowadzamy, ale to inna bajka).

Podobne wątki

  1. AntyDuplikat w MySQL
    By Teeed in forum Bazy danych
    Odpowiedzi: 4
    Autor: 05-18-2008, 18:01
  2. PHP i MySQL
    By FX12 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 2
    Autor: 04-22-2008, 14:36
  3. Podatność mysql??
    By R3mal in forum Hacking
    Odpowiedzi: 2
    Autor: 03-16-2008, 20:59
  4. mysql password
    By ble34 in forum Odzyskiwanie haseł
    Odpowiedzi: 4
    Autor: 09-19-2007, 18:57
  5. mysql ?????
    By ble34 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 6
    Autor: 04-23-2007, 23:27

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52