骑士CMS某新功能SQL注入

### 简要描述： 骑士CMS某新功能SQL注入 ### 详细说明： http://demo.74cms.com/ 培训中心SQL注入。所以先注册一个培训中心的账号，然后去发不新课程， 课程名用：cname'/*, 其他的随便填写。 [<img src="https://images.seebug.org/upload/201410/1716060236c78a4ce4358afa3cf7f27ac00c92c0.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/1716060236c78a4ce4358afa3cf7f27ac00c92c0.png) 然后使用用户的身份登录其申请课程： [<img src="https://images.seebug.org/upload/201410/17160727edb3d75b78c3329975723f624c524fb9.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/17160727edb3d75b78c3329975723f624c524fb9.png) 随便填写： [<img src="https://images.seebug.org/upload/201410/171607448f67dd8d48c3e78abc7fb87532188650.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/171607448f67dd8d48c3e78abc7fb87532188650.png) 提交即返回错误： [<img src="https://images.seebug.org/upload/201410/171608169eca3c53c0a69e9a9df42644f64e9e05.png" alt="4.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/171608169eca3c53c0a69e9a9df42644f64e9e05.png) 我们把其他说明改为： ``` */,3,1, 200, concat(user(),0x0a,version()) , 1, 1413525884)# ``` 然后提交即成功。 这个时候用培训中心的账号，查看课程申请： [<img src="https://images.seebug.org/upload/201410/171609541d5f5cb63fa3adf6433e1b83ab70d774.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/171609541d5f5cb63fa3adf6433e1b83ab70d774.png) 可以看到数据已经出来了。 木有代码就不好分析了。 ### 漏洞证明： 测试地址：http://demo.74cms.com/ [<img src="https://images.seebug.org/upload/201410/171609541d5f5cb63fa3adf6433e1b83ab70d774.png" alt="6.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201410/171609541d5f5cb63fa3adf6433e1b83ab70d774.png)