清华大学继续教育学院由于后台使用拼装sql的方法，且没有对用户的输入进行过滤，存在sql注入风险。随便浏览其中的一篇文章，如http://www.sce.tsinghua.edu.cn/news/detail.jsp?id1=1554，（有关sql注入的详细情况，请见www.2cto.com/Article/201209/153277.html），我们在参数后加一个单引号，可以看到服务器报错，说明对我们提交的单引号进行了解析，造成sql语法错误，如截图：




利用sqlmap自动化探测（关于sqlmap的使用方法，残开www.2cto.com/Article/201209/153288.html)，易踪网探测结果如下：





我们看到确实存在sql注入，www.2cto.com 后台时mysql数据库，版本为5.0.11，不是最新的版本，我们可以根据旧版本中存在的漏洞进行下一步操作，这里就不做研究了，比较有意思的是该网站设计者安全意识不高，直接利用root用户登录的mysql数据库，使得我们可做的工作很多，如探测管理员密码的hash，参数为–passwords，易踪网探测如下：




已经探测到mysql数据库的用户名和密码hash了，这里就不贴出来了，探测结束后，sqlmap会询问我们是否要暴力破解探测到的hash，sqlmap内置一个常用的字典，可以用来破解hash密码。破解出mysql数据库用户的密码，我们可以使用nmap这款工具来扫描下目标主机是否开放了3306端口，如果开放可以试着用破解到的用户名和密码连接下，由于该网站安全性做的不到位，没有进行IP限制等，我们可以直接利用探测到的密码，登录数据库，易踪网截图：




.易踪网敬告：本文章只为学习记录，勿做破坏之举。