为了不给对方站点带来不必要的麻烦..我屏蔽掉了他的信息...如果大家有兴趣测试的话
我把我改的程序传到了我的站

http://www.ciker.org/qq/

千万不要输入真正的密码.^_^..小心被盗了..到时候千万别来找我哈...

后台登陆地址
http://www.ciker.org/qq/ad.htm
管理员用户和密码我就不说了..看过无名的那篇文章的估计都能进去..没看的建议看下
http://bbs.hackbase.com/viewthread.php?tid=2731091&fpage=2

我们来看ad.htm  的代码不难看出
<form align=center action=qq.asp method=post name="form1"><br>
&nbsp;管理员：<input name="na">&nbsp;<br>
&nbsp;密&nbsp;&nbsp;码：<input type=password name="pwd">&nbsp;<br><br>

接着来看qq.asp的登陆验证代码

<%
if session("name")="" then
        na=request("na")
        pwd=request("pwd")
        set rs=server.createobject("adodb.recordset")
        sql="select * from admin where name='"&na&"' and pwd='"&pwd&"'"
        rs.open sql,conn,1,3
        if rs.eof then%>
        <script language=javascript>
                alert("管理帐户或者密码错误");
                window.location="ad.htm"
        </script>
        <% else session("name")=na
        end if
end if
set rs=server.createobject("adodb.recordset")
sql="select * from qq order by time"
rs.open sql,conn,1,3
%>
呵呵..懂点ASP的看出来了把

sql="select * from admin where name='"&na&"' and pwd='"&pwd&"'"

用经典的'or'='or'就可以进去了..

这个文章并不是告诉大家怎样去盗Q
只是起了个抛砖引玉作用..
并不一定非用此方法去盗Q
具体怎么利用就看你自己了...呵.

好了.不多说了..有对此程序有兴趣的朋友可以联系我

我的BLOG: http://www.ciker.org/

上一页  [1] [2] [3] [4] [5] [6]