新水年华 2004-2-28 09:05
关于万象网管有史以来最大的漏洞!
大家好,最近我发现了一个新的万象漏洞,描述:在会员登陆界面的会员卡号里输入:'select' 点击“上机”不会提示你用户名密码错误,而输入用户名:'or''='密码同用户名一样,会出现“您卡上余额不足”的提示,这充分说明了一点:万象也存在SQL注\*漏洞,这样一来岂不是不用入侵主机也可以利用SQL操作语言来给自己冲卡了吗!!于是我回去查了有关SQL的资料,又看了万象幻景数据库的结构,到网吧试着输入:'update [user] set remain=钱数 where cardid=我的卡号 然后回车,登陆看了一下每反应,但是我的卡却出现了一种很奇怪的现象:进去后等结帐下机的时候,万象登陆界面提示:“您的卡号已经不存在”,我不明白这是怎么回事,我是一个菜鸟,不会SQL注\*,要不然我肯定会成功的,有哪位高手来研究一下,如果成功的话别忘了告诉我,大家一起分享成果嘛!!
houhou 2004-3-2 13:37
我是一个菜鸟,良想搞懂这到底是怎么一回事,那位哥哥指教指教?
新水年华 2004-3-3 04:01
在临时卡里输入'or''='你看看是不是可以上机了?一部分机子可以的!
winner555 2004-3-4 01:34
10R"='
这个是管理员的密码
可以直接登陆
friendship 2004-3-4 10:57
看看很多人都对这方面有兴趣.我用SQL和其它编程软件结合,从来没有想过它可以破解其它的软件,看来今后要注意一些.
OR WHERE 这些都是用来查询语句来的.
主要都是建立表时的一些操作.
光辉 2004-4-18 21:26
万象已经是过去了,破解万象的工具多不胜数,还是讨论一点别的什么问题了吧~
罗宾 2004-4-19 11:55
我什么都不懂啊~~~那位大哥教教我啊~~~~~
我想成为高手啊~可是我很笨啊~~~
如果说有一天我成了高手我一定感激不尽啊~~~~~`
木人 2004-4-24 23:33
回头我试试。但是我这儿有家网吧非常难整(带刷卡),哪位师兄有兴趣可以跟我联系一下,我可以提供IP地址。
fangyan 2004-11-28 00:30
我 们这的网吧用的是万象网管软件 我怎么才能破解网管的密码 而 不被网管发现呢 从而达到免费上网呢
fangyan 2004-11-28 00:53
我知道有一种 万象网管软件的密码破解方法 但是需要下一个ViewPassword的软件 但我不知道在哪下 谁能告诉我呀
