无聊的日子,无聊的生活。偶是个穷人，现在还是个学生，每次都是家里存钱来的。一直都感觉挺对不住我的父母，我这个儿子让他们费了大半辈子的心血。到头来还是不怎么样的一个鸟样........诶！上网顺便查下卡里有钱没，信息时代真的是方便了人，比如我，上网就可以直接查下卡里的钱了，懒得跑那么远的路。

习惯的敲开那个网址，靠竟然打不开。难道银行的系统也会死机么，一个搞笑的念头，过了半小时还是打不开，晕了！一个国家的银行系统，管理员也太那个什么了吧！感叹下中国的管理员的素质，不是看不起自己国家的人，谁不想自己的国家好？但是真的，跟人家国外的一比..我都没话好说。就凭一点，人家管理员对安全的重视，反映速度，还不是现在的中国能比得了.....40分钟后偶的耐性等完了。靠！不给我查，我自己看呗！（好像这个念头很危险，建议技术不是很过关的兄弟别去想）于是偶跑到百度大叔那，把那银行的名字输入进去了，第一个没怀疑的，一看就知道是那个打不开的....第二个我就觉得奇怪了，我怎么看怎么别扭，于是顺手PING 了下IP，偶一向懒，还是去问百度大叔。结果？IP竟然是H国的，晕死，什么时候我们国家的银行开到那了，奇怪的玉米。。嘿嘿，大概就是传说中的假银行了。跑去whois查了下，5个空间...不用说了，肯定是假的。我就不明白，怎么假银行的网站也排到第2了。郁闷!不过偶今天心情好，放过你了！还是查卡要紧，不然偶要饿肚子了。再往下偶看到了个有确的东西。如图1



ID？最近研究SQL，搞得偶看到ID=什么什么就兴奋。。。于是打开后在后面加了个',让我大跌眼镜的是竟然报错了。于是 and 1=1 , and 1=2 ....后面的猜密码和字段的过程我就不写了，反正我也知道大家都会，写出来也不会有人看。。。
不过,密码是MD5加密的。汗了，换个思路吧，Access就是不像MSSQL那样好玩（个人感觉）权限稍微高点就可以直接备份得到SHELL，不过今天偶没那么好运，可能有的兄弟会说你怎么不去MD5查询网站看下，或者暴力破解。汗了！我敢保证你破解MD5的话得一年以上，怎么说人家也是银行的是不，再不懂SQL，安全意识怎么也会有点的，密码要不是15位以上你扁我，后来也证明偶的选择是对的。继续我们的渗透，看了下地址，是个2级目录，大家猜到我想干什么了吧。答对了，暴库，既然是Access我就不信你敢把数据库改成ASP网页，那样你不是找死么。加了个5c%，地址出来了。MDB格式的，连个防下载处理都没有，再BS他一下，直接下载后打开，得到了管理员密码和帐号，让我郁闷的是密码竟然是明文的，靠，那我前面注射得到的密码难道是天上掉下来的？？？直到现在偶都不知道是怎么回事。第一次遇到这种情况，恐怕许多兄弟也是第一次听说吧。这样倒霉的事情就让偶给碰上了，运气一向不是很好。不想了，继续，可是？后台呢，晕。我头晕了，弄了半天忘记猜后台。。。碰运气吧，大不了偶就再等等去主站查，不过，这次偶的运气好像还不错，在经历了N+1次失败后，终于看到了后台地址，MD，真变态的管理员，20位的密码，管理员的名字竟然叫你猜我是谁..........鬼才知道。对了，上面的N大于等于20。顺便整个图诱惑你们一下，银行的系统就是简洁，不像外面的那些站，中看不中用。