WooYun.org

1、
'having 1=1-- 看看它是哪个数据表的哪一列

猜猜密码列名字是什么：我猜是mm。我们来试试：

这里select出来了它的加密密文，并不是常见的MD5或sha1等hash，也不是base64密文，而是AES加密，不是很快就能解开的。
但是别忘了，这里还有其他用户，比如学生。
我们来赌一把，我赌学生的加密方式和管理员一致！
好，现在把我(学生)的密码密文select出来！登录身份选学生，用'having 1=1--暴它。

我们得知学生的账号密码在v_xs_xx里，有xh列，即学号。
我仍然猜测密码列名为mm，尝试select我的密码密文，如下图

OK，尝试添加一个管理员，密码密文就用我的密码密文。
如果我们只插入yhm，mm两个列，他会提示xm列不能为空，如下：

那么我们把xm列加上，提交之后尝试登录，如图：

登录成功
之后很多操作它会提示没有权限，那么我们看一下这个表的结构，并且找出我们和管理员的不同之处。
利用group by 和 having 1=1逐渐暴出所有字段名：yhm,rybh,mm,xm,sj,bz
逐个观察后发现bz是个重要的字段，我们把bz改成管理员
提交';update t_yh_xx set bz='管理员' where yhm='wooyun'--
再次登录后
依然提示没权限。。
那么我们可以直接修改admin的密码。首先记下admin原来的密码，以便于之后再改回去。
提交';update t_yh_xx set mm='mVIOJmqbnLg=' where yhm='admin'--
登录admin，使用发布通知，上传webshell。
这里没有对文件进行判断，任意文件可上传。如图

接下来能干的事就很多了，可以拖库，也可以提权。这是2003 的系统，pr提权有极大成功的肯能，操作我就不做了。
2、
非常基本的sql注入技术即可使用，具体不做了，参考1
3、
同样是登录的地方存在sqli，同样参考1 。同时，这里可以用union进行bypass，如图

同时，这里还存在弱口令，不过不存在admin这个用户名，可以用'or 1=1--绕过用户名。

这里面有全校学生的信息。具体我不做了。