WooYun.org

以首都经贸大学图书馆后台管理系统为例说明
url:**.**.**.**:81/

该界面密码只要输错一次就会出现验证码，因此，常规爆破方式可能不行
试着点击一下“忘记密码，请点击这里”，出现找回密码界面，经测试admin是管理员名称，无语的是，这个页面的验证码在输错用户名时是不会变的，因此，又可以尝试猜解其他用户名（此处不提）

然后，打开控制台发现了，这个admin的找回密码的界面的url是**.**.**.**:81/Account/SelectionMethod.aspx?arikcal=0d6d8ec4-4f18-4e69-bb60-ad965700be26
其实一开始看见这个链接，心里很无奈的，arikcal是什么？0d6d8ec4-4f18-4e69-bb60-ad965700be26又是什么？后来才发现这串是admin的C_Guid，真是醉了
先不管三七二十一，放到sqlmap里跑一下吧
没想到还真跑出来了，arikcal居然是敏感字段，这字段名谁取的。。。

继续，--tables，接着跑出了4个库，800+的表，sqlmap都不能显示了
Database: Sy_Core_APS_V2.1jm
[247 tables]
Database: tempdb
[7 tables]
Database: master
[360 tables]
Database: msdb
[220 tables]

然后就是苦逼地找敏感表啊，什么user,admin,login,member...都去找，都找不到啊，后来终于在Sy_Users_User表找到了password
然后发现无论是admin和其他角色密码全是弱口令111111，而且还以MD5密文+明文的形式存储在password字段，真是生怕哥还要拿去解密啊。。。

然后，我们去登一下，密码就是111111（早知道，拿弱口令一个个试好了，醉了）
进去了，发现界面还挺好看的

系统平台下，自带日志审计，倒是方便我清除日志了

然后有个图书馆成员审核，居然在里面看见了习总和彭妈。。。这管理员真心不怕查水表啊

然后看看这个上业科技，url:http://**.**.**.**/，产品如下

主要为高校提供建库发布或者学术门户管理系统，还有图书光盘管理系统，合作用户包括中科大，宁波大学，中国地质大学等多家高校，利用该漏洞，可以掌握上述高校图书信息，借阅者（学生，教师）信息，图书馆员工信息，高校图书馆馆藏光盘信息等等，具体的还没来得及深入挖掘，毕竟800+的表，里面的内容肯定很多的