WooYun.org

问题站点：http://eip.swsc.com.cn/SSO/Login.aspx （内部门户登录系统）
用户名处单引号测了一下，报错了

看了下是“171.217”附近有语法错误，而这个明显是ip地址，burp抓包看了一下，没有x-forward-for和client ip头信息，那么获取ip的方式应该就是remote address了。这样的话，在头信息上注入就没戏了。这时候只有不停的尝试一下，发现还有',')'的报错信息，其实如果经验更丰富些，这个时候就改想到什么了，但是由于本人新手，大概知道前方有括号好闭合，经历了各种报错注入的尝试后：在用户名后插入 ')-- - 后，终于。。

好吧，到这里大家应该知道了，前面是insert语句，我们可以理解为前方高能，是select 语句与insert语句的混合，但是select语句附近没有问题，我们的单引号引发了insert语句的报错，好吧，我们也不去纠结前面的语句的构造了。我们先是构造如下：

‘，1）-- -

然后根据报错信息，依次增加value字句中的值的列数，直到不再报错为止，于是，最终闭合的句子如下：

',1,1,1,1)-- -

由于mssql可执行多语句，我们先尝试是否可以延时注入，',1,1,1,1); waitfor delay '00:00:05' ;-- a 发现网页半天没有返回结果，而且最后，

似乎出现了什么问题。好吧目测有关键字的waf，经过测试目测过滤了 waitfor , select .... from 等字段，尝试unicode某些字母

',1,1,1,1); waitfo\u0072 delay '00:00:05' ;-- a

我们的unicode编码部分被吃掉了，看来这样的方式不得行。再试试报错注入

',1,1,1,1);select 1 from master where 1=user -- -

但是这里select ....from 被过滤了，那么我么就干脆不要from，直接。

',1,1,1,1);select 1  where 1=user -- -   或者     ',1,1,1,(select 1 where 1=user)); -- a

成功注入