注入点：

http://www..com/shownews.asp?id=471

查看是否能注入：

不能注入，有防注入系统，利用工具突破！！

注入中转：

用工具扫扫：

爆出了用户名和密码（md5加密），然后找后台，解密md5并登陆后台

进入后台，找网站设置，添加上传文件类型：

访问路径：http://XXX.com/UploadFiles/20144221959209.cer，如下图所示，输入密码：

登陆以后如图所示：

二、手工注入：

查看是否能注入：' 1=1 1=2

查看列长度：

猜表名：网页显示正常说明表存在

猜表字段：网页显示正常说明字段存在

查看显示位：

爆字段内容：