本人所在的是重庆某某软件学校，学校一共4台内部服务器，

IP结构：10.0.0.2、10.0.0.4、10.0.0.5、10.0.0.103

去年的时候由于10.0.0.103的sa为弱口令123456，被俺日下，后来通知校方处理了（确实处理了），

俺现在这外面连接不到内网，所以木有截图，谅解下，

分析下结构：

不知道俺发什么神经，刚好也开着sql，就在连接那输了个10.0.0.3（去年SA密码为123456的主机），用户名sa，密码123456，直接就登陆了，之后简单修复个sql错误拿下这台，就在上面cain嗅C段，等了几分钟，发现10.0.0.4有3389数据，其他的就没了，于是挂着不管了（在上课），下课的时候看看，NND，服务器死了，亲，8核，那么大内存，这么轻易就死了，好吧，

蛋疼的ping了下10.0.0.5，竟然能ping通了，好吧，访问http://seay.sinaapp.com:8888，正是俺们的目标OA，忘了说这服务器上几个OA都是学校某老师写的，嘿嘿，漏洞是肯定会有的，在登陆那看了下没注入，咱没账号，也登陆不了，搬出自己写的工具包，把御剑打开，开扫，NND，扫不动…wwwsan也扫不动，好吧，不扫了，看到登陆输入框旁边有个链接，好像是电话服务什么什么OA系统，名字记不全了。点过去，还是一个登陆界面，不过俺输了个’or’='or’点登陆好吧，报错了，亲，’引号后面不完整，各种尝试啊，就在要放弃的时候，一个’or”=’登陆成功了，但是毛都木有，啥也点不了，啥都木有，像俺们学校的都喜欢用sa用户，估计这些OA也是sa权限，研究了下这个登陆注入，发现只有用户名和密码都用’or”=’ 这个才能登陆，说明密码是明文保存的哦，好吧，一般登陆有注入的SQL语句都是这么写的“select * from seay where name =’ ‘ and pwd = ‘ ‘ ”，大概结构就这样，好吧，构造下
我们要的sql语句，这样select * from seay where name=”or”=” and pwd=”or”=”;exec sp_password NULL,’1′,’sa’  可以看到俺们只要在用户名那填’or”=’  密码那填’or”=”;exec sp_password NULL,’1′,’sa’  点登陆，只要是sa权限就可以将sa密码修改为1，事实上俺没猜错，的确是sa权限，之后还是老经典，sa连接上sql直接在服务器上加了个系统账户，成功拿下服务器，整个过程两节课下课，好吧，又是sa的错，之前说过，www.2cto.com 俺们这学校出去的都喜欢用sa（除了俺）。

还有两台10.0.0.4和10.0.0.2就没看了，估计也不难吧，学校一共三个技术维护老师，两个是修电脑的…就是说还有一个搞网络咯，四台服务器，拿下两台，还有一个能嗅到3389数据，拿下的直接抓administrator明文密码，另外两台估计用这密码也能登陆吧。

对内部网络的评价：sa无敌，你喜欢用，俺更喜欢你用，最好密码全用123456。

学校老大级的人物写的系统，还有登陆注入，亲，你伤的起么？去年就叫你们装个ARP防火墙，还不装…好吧。另外还有外网学校官网（也是老师写的）一个弱智的upload，没验证上传类型（后来俺给他把那页面直接删了）木用的页面。

说道底，俺们学校老师都不错（好多20多岁的漂亮妹纸老师哇），对人也好，从老家跑过了4000多里路，一个人来这边一年了，学到的东西很多，你愿意问他们也愿意教你，反正来这儿吧，无怨无悔…就是学费有点贵，一个学期一万六啊，一个星期只有5个半天（两天半）的课，算下一节课6、7毛一分钟，亲啊，俺交不起学费啊…亲校长，免俺学费好么，呜呜