2 u014364788 u014364788 于 2014.11.23 10:52 提问

SQL注入,,绕过登陆,提升权限 3C

通过找到的sql注入的确可以读取数据库内某些信息,通过模拟黑客入侵最终得到一账号,但是该账号无查看后台订单权限。想尝试登录后台系统并进行抓包,并尝试绕过登录或者提升权限。账号为admin密码为password ,该账号为user权限,需要提升为admin后才可查看flag。(提示:key的提交形式为flag:{xxxx})
地址:http://218.2.197.250/TestOne/login.html

2个回答

fmoalm
fmoalm   2015.11.30 15:11

路过水一贴,O(∩_∩)O。

qq_31944913
qq_31944913   2016.06.21 12:47

我记得好像是:‘or 1=1 --

Csdn user default icon
上传中...
上传图片
插入图片