本文来源无问社区，更多实战内容，渗透思路尽在无问社区http://www.wwlib.cn/index.php/artread/artid/9755.html

某大学的办公系统，学号是我从官网下载的优秀人员名单找到的，初始密码为姓名首字母加身份证后六位，我是社工了他们学校话题下的一些微博用户得到了身份证，然后按照获取到的几个学号格式构造了字典去跑功能点

单引号返回了500

双引号正常（提前说明下，只有参数为整数才会返回数据）

经过各种测试710报错(大概率为orcale数据库才能用||这个符号，大概理解为里面函数会强制执行)

709正常

直接构造payload（这里有个坑，当结果为exp(710)的时候，无论条件是否正确都会执行这个函数并返回500，于是我改成了exp(20)）

1=2时返回了200无数据

直接构造payload开跑

'||case+when+ascii(substr(user,1,1))=117+then+1+else+exp(20)+end||'

后续注完user结束