黑客情景题 - 第4题SQL注入(难度:中等)(附答案)

题目:

我是由一位朋友介绍来的,我想知道您是否可以帮助我。 有一家当地的商店每天杀死数百只动物,专门用来销售夹克和皮包等皮肤! 我去过他们的网站,他们有一个电子邮件列表为他们的客户。 我想知道你是否可以向我发送他们客户电子邮件地址? 我想给他们发一条消息,让他们知道他们正在谋杀。 他们的网站是http://www.hackthissite.org/missions/realistic/4/。


答案:

1.

先试着在Mailing List打点东西

黑客情景题 - 第4题SQL注入(难度:中等)(附答案)_第1张图片


2.

返回的资料说明,E-mail是用1个table储存的。那SQL注入可能可以返回E-mail list。



3.

在这版面中,我们发现返回的资料有3到4个值,分别是:图片,描述,价钱。可能有id。

黑客情景题 - 第4题SQL注入(难度:中等)(附答案)_第2张图片


4.

URL的链接是以?category=<某些东西>结尾的,那我们可以用UNION ALL SELECT null, *, null, null FROM email并放在?category=<某些东西>后面取回E-mail的资料

黑客情景题 - 第4题SQL注入(难度:中等)(附答案)_第3张图片

你可能感兴趣的:(黑客,情景题)