Pokaż wyniki 1 do 5 z 5

Temat: MySQL

  1. #1

    Domyślnie MySQL

    Hej.

    Ostatnio bawiłam się w taką grę typu "HackMe".

    No i... natknęłam się na poziom w którym mam pole tekstowe do wpisania hasła.
    Po wpisaniu byle czego wyskakuje:

    Kod php:
    SELECT COUNT(*) AS Dupa FROM Hasla WHERE Pass "[tuhasloktorewpisalam]" 
    No i kompletnie nie rozumiem o co chodzi. Bawiłam się nieco bazami danych, ale nie mam zielonego pojęcia jak wydobyć HASŁO z bazy :<

    Pozdrawiam.

  2. #2

    Domyślnie

    A wpisz w pole tekstowe to:
    Kod:
     " or '1'='1' " #

  3. #3

    Domyślnie

    Zadziałało, dzięki Ci.

    Byłabym wdzięczna jeszcze jakbyś mi wytłumaczył na jakiej zasadzie to działa

  4. #4
    Zarejestrowany
    Apr 2008
    Postów
    200

    Domyślnie

    Wartość logiczna wyrażenia po słowie kluczowym WHERE będzie zawsze prawdziwa, ponieważ zgodnie z prawami logiki wyrażenie składające się z dwóch lub więcej zdań połączonych alternatywą będzie prawdziwe jeśli prawdziwe jest którekolwiek z tych zdań. W tym przypadku prawdziwe jest zawsze równanie '1' = '1. W efekcie zostanie zwrócona liczba wszystkich rekordów w tabeli Hasla.

  5. #5

    Domyślnie

    Jeszcze moje słowo wyjaśnienia: stron internetowych w przeciwieństwie do programów się (zazwyczaj?) nie kompiluje, co daje możliwość wpisania jakiegoś fragmentu kodu. Zaczynając od [ " ] informujesz stronę, że w tym miejscu kończy się ciąg znaków hasła i zaczynają instrukcje mówiące co z tym dalej zrobić. W ten sposób można wszczepić w stronę jakiś kod, a w rezultacie ją złamać (no chyba, że filtrują znaki, które wprowadzamy, ale to inna bajka).

Podobne wątki

  1. AntyDuplikat w MySQL
    By Teeed in forum Bazy danych
    Odpowiedzi: 4
    Autor: 05-18-2008, 19:01
  2. PHP i MySQL
    By FX12 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 2
    Autor: 04-22-2008, 15:36
  3. Podatność mysql??
    By R3mal in forum Hacking
    Odpowiedzi: 2
    Autor: 03-16-2008, 21:59
  4. mysql password
    By ble34 in forum Odzyskiwanie haseł
    Odpowiedzi: 4
    Autor: 09-19-2007, 19:57
  5. mysql ?????
    By ble34 in forum PHP/CGI/ASP/JSP/J2EE
    Odpowiedzi: 6
    Autor: 04-24-2007, 00:27

Zasady Postowania

  • Nie możesz zakładać nowych tematów
  • Nie możesz pisać wiadomości
  • Nie możesz dodawać załączników
  • Nie możesz edytować swoich postów
  •  
Subskrybuj