/禁止轉載 作者QQ3496925334/
●漏洞已提交，廠商已修復漏洞
■重要細節全部打碼
■隱私細節全部打碼
■部分細節對外開放
●自評Rank:15

學校要求我們做某平臺的選修作業
果然還是登入的形式，預設密碼111111
進入平臺的時候發現網站不是學校自己做的
抱著試試看的心態找找注入點

●初步嘗試
試著在登入欄裡面注入永真條件，讓使用者名稱的布林值為true
輸入預設密碼111111
神奇的事情發生了，資料庫遞迴查詢並顯示了資料庫內所有使用者的資料！

●初步判斷：userid引數可能存在注入點
下一步就是判斷password引數了
在密碼欄裡注入永真條件，使用者名稱寫自己的賬號
不能登入，我換了幾種永真注入條件，加了括號的，加了單引號的一一試了，都沒用
●第二步：password引數可能沒有注入點
第三步當然是burpsuite抓包了，抓到包之後放進sqlmap裡跑，奇怪，居然沒跑出注入點來？
？難道判斷錯誤了？
接著我回到那個網頁，向userid注入不同的sql語句
引數’ and 1=1在userid裡注入之前可以利用的永真條件，好讓password判斷為true
登入失敗
賬號’ and 1=1
密碼輸入正確的密碼，試著通過sql注入正常登入上去，也不行
期間也考慮過閉合問題和dbms為MySQL的原因，分別加了單引號和括號好讓語句閉合，結果都不行，更奇怪的是之前的可利用永真條件是加了單引號可以正常閉合的
我懷疑這不是sql注入，
試著改動之前的永真條件，替換判斷的引數，結果都可以正常讓伺服器遞迴出所有使用者
？？怎麼回事？這樣的確是sql注入點呀？
●第三步判斷：userid可能不是注入點，或許是後端判斷的問題？
正當我一無所獲準備關閉電腦，突然想起來這網站不是其他公司幫忙建的嗎？他們公司會不會也有這種漏洞？
我進入他們公司的登入頁面，注入永真，輸入預設密碼。。。
成功把在他們公司註冊過的所有學校的個人資訊全部遞迴出來了！！！！！
大概有40多所學校（可能不止！）
每個學校至少有幾千人的資料！！！
我試著抓了一下包，發現了一個更為重要的資訊！當我登入他們的賬戶的時候，在post記錄裡找到了註冊使用者的手機號，而且是明文！明文！明文！！！！！