WooYun.org

1.
教室查询处有sql注射，如图

1 union select NULL,owner from all_tables 爆出数据库
2.
找回密码存在sql注射
验证方式为本地javascript验证，服务端未做验证，可爆出第一个用户（管理员密码）

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
首先通过sql注射查处老师登录帐号密码（顺便吐槽下，这代码命名也不规范，表，字段名字尽是xyz,xsz之类的，密码加密也是用的可逆的方式，而且还是自己写的加密算法，或者那个不能叫做加密算法，就是简单的字符串变换）
这个sql注射，他的教师登录的帐号密码存放在yhb这个表里，几个主要字段kl密码js:部门类别yhm：UID kl:口令xm:姓名 szdw：院系
1 union select NULL,js||' '||szdw||' '||xm||' '||yhm||' '||kl 搞到所有老师帐号密码，院系类别啥的

看到查询的kl为变换后的字符串，就用Reflector翻了下dll，找到了加密方法

然后又找到了解密的方法，花了用.net画了个框（.net画框真的很快），copy一下解密方法

到目前为止，我们就已经能都登入所有管理人员（老师，部门的帐号），所以我们用管理员帐号登入，可以查看所有童鞋（包括妹子）信息（电话，住址，pp啥的）

那么你就可以实现在如下境界：在校园里面看上一个妹子，立马可以查到她信息，晚上没事去打打骚扰电话啥的。
然后还可以配合 WooYun: 正方教务管理系统web端成绩录入漏洞 ，或者自己读读代码，找那个添加成绩的密码，改改成绩啥的