Взлом банка через SQL

20.07.2012, 20:29. **Показов** 2396. **Ответов** 4

Студворк — интернет-сервис помощи студентам

Закачал себе Агент национальной безопасности. Смотрю вторую серию первого сезона. Там прям в начале фильма кулхацкер крадёт бабло из банка шаманя на sql. Пруфы прилагаются. Только две вещи я не понял. Первый запрос select * from accounts where id = .... вернул почему-то таблицу с одним столбцом "credit_amount_rub", а как же столбец "id"? Но дальше круче. Запрос update accounts set credit_account_rub = 250000 изменяет 1 строку! Как видно выше в этой таблице нет такого поля, оно называется немного по-другому. По идее ошибка должна быть. Потом есть крупный план с полем credit_amount_usd, но тут можно предположить, что дубль другой был.

crautcher · 25.07.2012, 17:33

в "девушка с татуировкой дракона" когда она взаломала базу полиции

вот такой запрос и ответ :

SQL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
SELECT DISTINCT v.fname, v.lname, i.year, i.location, i.report_file
FROM   Incident AS i
       LEFT JOIN V(ictim?)...  -- presumably v.incident_id = i.id
       LEFT JOIN Keyword AS k ON k.incident_id = i.id
WHERE  i.year BETWEEN 1947 AND 1966
AND    i.type = 'HOMICIDE'
AND    v.sex = 'F'
AND    i.status = 'UNSOLVED'
AND    ...
       OR v.fname IN ('Mari', 'Magda')
       OR SUBSTR ...
AND    (k.keyword IN ('rape', 'decapitation', 'dismemberment', 'fire', 'altar', 'priest', 'prostitute')
       ...
       AND SUBSTR(v.fname, 1, 1) = 'R' AND SUBSTR(v.lname, 1, 1) = 'L');
 
+--------+---------+------+-----------+----------------------------------+
| fname  | lname   | YEAR | location  | report_file                      |
+--------+---------+------+-----------+----------------------------------+
| Anna   | Wedin   | 1956 | Mark      | FULL POLICE REPORT NOT DIGITIZED |
| Linda  | Janson  | 1955 | Mariestad | FULL POLICE REPORT NOT DIGITIZED |
| Simone | Grau    | 1958 | Goteborg  | FULL POLICE REPORT NOT DIGITIZED |
| Lea    | Persson | 1962 | Uddevalla | FULL POLICE REPORT NOT DIGITIZED |
| Kajsa  | Severin | 1962 | Dals-Ed   | FULL POLICE REPORT NOT DIGITIZED |
+--------+---------+------+-----------+----------------------------------+

Шокированные кинозрители озадачены, что один из лучших в мире хакеров ничего не знает об операторе проверки соответствия шаблона LIKE, и почему, ни одна из жертв во всей базе полиции не имеет инициалов R.L.

@taras atavin · 26.07.2012, 07:40

А может ему лайк и не был нужен?

crautcher · 26.07.2012, 15:56

Сообщение от taras atavin

А может ему лайк и не был нужен?

Сообщение от crautcher

AND SUBSTR(v.fname, 1, 1) = 'R' AND SUBSTR(v.lname, 1, 1) = 'L');

у меня конечно не база полиции но всеже

SQL
1
2
3
4
5
6
7
mysql> SELECT COUNT(*) FROM Users;
+----------+
| COUNT(*) |
+----------+
|  2561078 |
+----------+
1 ROW IN SET (0.83 sec)

теперь вынем ченить через подстроку а потом через like

SQL
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
mysql> SELECT COUNT(*) FROM Users WHERE SUBSTR( ID , 1, 1) = '1';
+----------+
| COUNT(*) |
+----------+
|  2363285 |
+----------+
1 ROW IN SET (8.73 sec)
 
mysql> SELECT COUNT(*) FROM Users WHERE ID LIKE '1%';
+----------+
| COUNT(*) |
+----------+
|  2363285 |
+----------+
1 ROW IN SET (1.37 sec)

время смотри

SoftIce · 30.07.2012, 08:51

Потому, что там работал кулхацкер, и методы его работы у вас вызывают лишь удивление, вам не понять

Новые блоги и статьи Все статьи Все блоги /
Новый ноутбук volvo 07.12.2025 Всем привет. По скидке в "черную пятницу" взял себе новый ноутбук Lenovo ThinkBook 16 G7 на Амазоне: Ryzen 5 7533HS 64 Gb DDR5 1Tb NVMe 16" Full HD Display Win11 Pro	Музыка, написанная Искусственным Интеллектом volvo 04.12.2025 Всем привет. Некоторое время назад меня заинтересовало, что уже умеет ИИ в плане написания музыки для песен, и, собственно, исполнения этих самых песен. Стихов у нас много, уже вышли 4 книги, еще 3. . .	От async/await к виртуальным потокам в Python IndentationError 23.11.2025 Армин Ронахер поставил под сомнение async/ await. Создатель Flask заявляет: цветные функции - провал, виртуальные потоки - решение. Не threading-динозавры, а новое поколение лёгких потоков. Откат?. . .	Поиск "дружественных имён" СОМ портов Argus19 22.11.2025 Поиск "дружественных имён" СОМ портов На странице: https:/ / norseev. ru/ 2018/ 01/ 04/ comportlist_windows/ нашёл схожую тему. Там приведён код на С++, который показывает только имена СОМ портов, типа,. . .	Сколько Государство потратило денег на меня, обеспечивая инсулином. Programma_Boinc 20.11.2025 Сколько Государство потратило денег на меня, обеспечивая инсулином. Вот решила сделать интересный приблизительный подсчет, сколько государство потратило на меня денег на покупку инсулинов. . . .
Ломающие изменения в C#.NStar Alpha Etyuhibosecyu 20.11.2025 Уже можно не только тестировать, но и пользоваться C#. NStar - писать оконные приложения, содержащие надписи, кнопки, текстовые поля и даже изображения, например, моя игра "Три в ряд" написана на этом. . .	Мысли в слух kumehtar 18.11.2025 Кстати, совсем недавно имел разговор на тему медитаций с людьми. И обнаружил, что они вообще не понимают что такое медитация и зачем она нужна. Самые базовые вещи. Для них это - когда просто люди. . .	Создание Single Page Application на фреймах krapotkin 16.11.2025 Статья исключительно для начинающих. Подходы оригинальностью не блещут. В век Веб все очень привыкли к дизайну Single-Page-Application . Быстренько разберем подход "на фреймах". Мы делаем одну. . .	Фото: Daniel Greenwood kumehtar 13.11.2025	Расскажи мне о Мире, бродяга kumehtar 12.11.2025 — Расскажи мне о Мире, бродяга, Ты же видел моря и метели. Как сменялись короны и стяги, Как эпохи стрелою летели. - Этот мир — это крылья и горы, Снег и пламя, любовь и тревоги, И бескрайние. . .

kg963

	Взлом банка через SQL 20.07.2012, 20:29. Показов 2396. Ответов 4 Метки нет (Все метки) Закачал себе Агент национальной безопасности. Смотрю вторую серию первого сезона. Там прям в начале фильма кулхацкер крадёт бабло из банка шаманя на sql. Пруфы прилагаются. Только две вещи я не понял. Первый запрос select * from accounts where id = .... вернул почему-то таблицу с одним столбцом "credit_amount_rub", а как же столбец "id"? Но дальше круче. Запрос update accounts set credit_account_rub = 250000 изменяет 1 строку! Как видно выше в этой таблице нет такого поля, оно называется немного по-другому. По идее ошибка должна быть. Потом есть крупный план с полем credit_amount_usd, но тут можно предположить, что дубль другой был. Миниатюры

@taras atavin 4226 / 1796 / 211 Регистрация: 24.11.2009 Сообщений: 27,562
	26.07.2012, 07:40
	А может ему лайк и не был нужен? 0

SoftIce es geht mir gut 11274 / 4760 / 1183 Регистрация: 27.07.2011 Сообщений: 11,439
	30.07.2012, 08:51
	Потому, что там работал кулхацкер, и методы его работы у вас вызывают лишь удивление, вам не понять 0