WooYun.org

确定存在注入，为oracle的时间盲注（复现时可能比较纠结，时间可以加大一点，一次跑不出，可以跑2次），一般人可能到此就放弃了，但是像我们比较笨的人，只有更努力一点了。不幸中的万幸，前辈们开拓的很深入（致敬），正方的数据库结构已经很明了了。用户密码加密方式，乌云知识库也有讨论。
ps：①数据库结构： WooYun: 69个高校正方教务管理系统数据库任意操作 （向2位师兄致敬）
②加密方式：http://drops.wooyun.org/tips/847
WooYun: 方正教务系统sql注射
一般可以用--sql-shell进行快速提取（oracle权限分配比较死，权限比较低）。切正方如果默认数据库名改变，跑不出表的。
select YHM,KL from "YHB" where YHM like 'jw%';
权限高的可以，直接dump了。
-D ZFXFZB -T YHB -C “yhm,kl” --start 1 --start 50

会得到一些，用户名和密码。（配合社工效果更佳，搞到管理员和老师的账号应该不是很难）

接下来，又是一个很苦逼的活。知道账号，密码很难解出来，只有试探弱密码，好在很多老师账号密码一致。这里要感谢基友彗星的全力助攻。根据乌云知识库的原理，写出了软件。

基友说，凭借小学英语和运气的组合，终于搞出了key。
然后，然后...发现乌云已经有人爆出了key。
依稀记得当时的感觉,就像千万只小学生中从心中奔腾而过。：(
好，接下来。进管理后台，拿webshell。后台过滤的还是蛮严格的。
asp.aspx.asa.1.asp;.jpg等等...均失败
然后灵光一闪，以前貌似看过ashx可以.net中生成一句话的。
于是：

以免有的同学，友情监测，还是打码为好。

学校机器一般年老失修，，，提权简直是so easy。
然后读出，管理密码。
嗯，大家猜对了，教务管理的密码惊人的一致。减少了一些提权之繁琐。
上传图片太痛苦了，so卡，就不上图了（不知是乌云的问题还是我的网速问题）。
罗里吧嗦的说了这么多，其实就是锲而不舍，才能达到最后，也没什么特别的。