先声明，我不是好人说的那种坏人，因为我没能学习那种学问，我更不是坏人说的那种好人，因为我玩不了那种“假深沉”。本人的这次“黑客”经历实在算不上什么真正的“攻击”或“恶作剧”，顶多是误打误撞……
“捡”来的账户
　　学校网站有一个名叫《领导查询》的栏目，需要用户名和密码才能访问，本人一直对此耿耿于怀。不过本人既然不是领导，不让访问就算了，那就随便逛逛吧。
　　无意间点中了一个“排课系统”的下载链接，下载运行后，出现了无法连接到数据库的提示。到程序安装文件夹里看看有说明文件没有。打开C:\Program Files\YDPK\文件夹，只有一个YDPK.INI可以被记事本打开。先看看再说，内容如下：
　　[Database]
　　DBMS=SYC Sybase System 10/11
　　Database=xsjdb
　　UserId=
　　DatabasePassword=
　　LogPassword=123456
　　ServerName=xsjserver
　　LogId=ynsoft
　　Lock=
　　DbParm=Release='11'
　　Prompt=0
　　一行一行来分析，这个Database节的第一行应该就是数据库的类型，是Sybase11的，记下来。从第二行可以看出数据库的名字叫做“xsjdb”。第三、四行的等号后面没东西，暂且不去管它。再看第五行，登录密码？呵呵，有意思。第六行就是数据库服务器的名字了，好像和我机器上装的“材料管理系统”的数据库服务器名是一样的哦。然后第七行，登录用户名！哈哈，怎么这么详尽啊，好像已经拥有足够的信息来访问这个xsjserver上的xsjdb数据库了，Try on！
碰到了弱口令表
　　马上打开Advantage，点Server→Connect，看了一下dan出的窗口，Server列表里果然已经连接服务器，然后输入服务器名xsjserver，用户名ynsoft，口令123456，Connect……OK！连接成功！好，转到xsjdb数据库，看看里面有什么……
　　提示：Advantage工具全称是SQL Advantage，是Sybase 自带的一个数据库操作工具。支持通过T-SQL命令来对Sybase的数据库进行各种操作。
　　怎么这么多表，足足有几十个。都是些什么呀？随便打开一个来看，ldcx_history，ldcx? 难道是“领导查询”的首字拼音缩写? 键入：select * from ldcx_history并运行，看到表1所示的内容。

　
　　显然这是“领导查询“栏目的访问历史记录，不过怎么没有密码呀？先试试再说，重新打开校园网站，输入用户名：xz_liu，密码输什么好呢？估计现在的领导都“忙”，图省事，肯定都是最简单的。先试123456，不对？再试试1234，居然进去了！再换张校长的用户名，输入：xz_zhang，密码还是先试123456，一次搞定！
删除访问记录
　　“破解”成功的喜悦感竟然压过了我浏览这个“秘密”栏目的好奇心，又回过头来继续研究这个ldcx_history表，现在再select一下，竟然出现了如表2所示的记录。

　
　　这……185不是我机器的IP地址吗？怎么把这个给忘了，明明知道这是一个记录访问历史的表。真是大意，赶紧敲下“delete from ldcx_history where from=’192.168.0.185’”并运行！还好，这个最开始捡来的ynsoft账户权限不小，竟然可以删除记录。赶紧断开连接，本次“攻击”到此结束。
　　总结：经过这次“初级黑客”似的经历，好像产生了那么一点点的“成就感”，不过很快就消失了，取而代之的是对本校信息系统安全问题的深深担忧。