由于某些原因，对某大学的研究生信息管理网站产生了兴趣，目前能访问
的就是该网站的登陆页面，在google上搜了一下，也没找到此网站上的更多有用的页面，
该服务器是linux的，上面没有其它网站，我没有用扫描器扫描它，因为我不指望能用远程
溢出进入这个服务器，这年头，如果你能通过远程溢出进入一个服务器，那么至少有上百人
早就赶在你前面了。  

既然不可能从服务器层面上入手，那就再看看web吧，图1显示学生用户的登录用户名
是学号，就国内现有的网络安全现状而言，据我保守估计，此网站上至少应该有超过20%的
人使用学号或者弱口令作为密码，但是我不知道他们学校的研究生学号命名规则，尽管我认
识这个学校的一个研究生，但是我不喜欢求人，还是先在网上搜搜吧。关键词“**大学 研
究生 学号” ，翻了几页，果然找到了一个网上公布的该大学的研究生学号列表。

还等什么？赶紧试试吧，很快就找到一个人使用学号作为密码的，这样，我总算能看见
网站里面的东西了。该网站是jsp脚本编写的，那么它的数据库最有可能是oracle的，事
后证明我猜对了。
看了一下学生能够使用的功能，发现一个发站内邮件的功能，还可以上传附件。

然后我就自己给自己发了个站内邮件，附件上传了一张图，如图4是选择收件人界面，
可以通过多种条件查询收件人，这个功能很重要，后面还会用到。  

将鼠标停在邮件附件的下载链接上，IE左下角显示出地址，是个动态地址，我
无法得到它的真实路径，也就是说，即使我能上传jspshell，也找不到它。

没办法，再看看有没有其它注入点吧，一些通知的链接、个人信息的链接全看了，不存
在注入。于是我又到处找有没有搜索的功能，说不定还有搜索型注入呢。请注意图4那里有
查找站内邮件收件人的功能，我在收件人搜索条件的年级那里输入“1'”，图6，出错了，
连SQL语句都爆出来了，看来没过滤“'” 。

然后我又搜索“1%' and 2>1 and '%'='”和“1%' and 2=1 and '%'='” ，前者搜索结
果和搜索“1”无异，后者没有搜索结果，看来存在搜索型注入。

既然图6连SQL语句都报出来了，那么想要联合查询注入就应该很容易，可是我却发现
无法使用“--”和“/*”来注释后面的语句，不知道是何原因，这样就没办法联合查询了，
假如不用联合查询，逐位猜解我可受不了，最后试了很久，还是放弃了。
不过我很快就发现还可以搜索信息公告。

这里的数据包不是get方式提交的，我就抓包来看，将post方式提交的数据放在IE
地址栏，假如能够用get 方式提交的话，注入起来就方便一点。

图10
虽然提交的参数很长，但是有些不是必要的，可以删掉，最后我将其简化成了：
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27
“2010”是我搜索的关键词， “%25”是%的编码， “%27”是“'”的编码，提交该URL，
如图11，没有问题，还发现上面的错误信息暴露了脚本的绝对路径，如下：
[ServletException in:/application/yanyuan/message/messagelistingextend.jsp]
null' 
 随后提交：
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27 order by 10
再提交：
http://www.xxx.com/messageviewlisting.do?method=query&criteria=1%3D1+and+ti
tle+like+%27%252010%25%27 order by 11
结果如图13。对比如图12、13，可知被注入的select语句查询了10个字段，因为按
照第10个字段排序结果正常，按照第11个字段排序没结果。

于是提交如下URL，其中包含10个NULL，dual是个低权限就能访问的表，返回结果没
有报错，说明这个联合查询注入语句没问题。这里要说明一点，有的时候使用联合查询注入，
“union select”会出错，导致进行不下去，使用“union all select”就好了，尽管二者