WooYun.org

http://www.touzhu.cn/Web/Author/ProList.aspx?id=7'

观察了下，此页面功能是获取参数构造页面，功能相当复杂，以为着SQL闭合会相当不好处理，果然！
尝试闭合SQL
http://www.touzhu.cn/Web/Author/ProList.aspx?id=7 and IsTab=1)--

由于丝毫不知道其系统架构，想闭合这种复杂的SQL几乎是不可能的事情，但是我们可以换种方式，只要能够执行我自己的SQL，可以不用考虑后面的，因为我的SQL在后面的语句以前执行，我只需要考虑前面的语句，尝试执行我自己的SQL
http://www.touzhu.cn/Web/Author/ProList.aspx?id=7) and user>0--

成功，其余的请自己发挥，数据库连接权限是DBO，意味着想做什么都可以了！ 稍微提醒一下，虽然SQL2008 默认的进程权限已经修改为服务权限（非系统权限），但是服务权限依旧能够让我们做相当多的事情！ 由于非破坏性测试，在取得2个数据库服务器群组权限后，我没有进行下一步。WEB和数据库分离不是万能！