gb400这道题可谓是这册比赛最简单的一道了,思路直接,方法简单。
题目要求提交某个用户a的余额
首先这道题给了个url和登录帐户密码,登陆上去,然后有个登陆,有个查看,是个jsp的站,
然后查看那里有个简单的sql注入,直接跑出用户名密码就可以登陆了,
这里实际上是有个小tips的就是题目要求得用户a,在这里是查询不到的,但是你可以通过google查到这个知名人士的别名,就在这个sql注入爆出的列表里,然后登陆就可以了。
实际上很多人可能在得到用户密码列表登陆进去后,第一个用户实质上余额是0.00,如果尝试性的提交,这样就过了,因为那个a用户的余额就是0.00