Espcms V5.6.13.04.22 UTF8 正式版注入漏洞之1/N

### 简要描述： Espcms V5.6.13.04.22 UTF8 正式版某文件存在注入漏洞，可获取管理员帐号和密码 ### 详细说明： 漏洞文件：\interface\membermain.php ``` $zipcode = trim($this->fun->accept('zipcode', 'P', true, true)); //第185行 $zipcode = empty($zipcode) ? 0 : $zipcode; ``` ...... ``` $db_where = "userid=$this->ec_member_username_id AND username='$this->ec_member_username' "; $db_set = "sex=$sex,birthday=$birthday,country=$country,province=$province,city=$city,district=$district,alias='$alias', address='$address',zipcode=$zipcode,tel='$tel',mobile='$mobile',qq=$qq,msn='$msn'"; $this->db->query('UPDATE ' . $db_table . ' SET ' . $db_set . ' WHERE ' . $db_where); ``` $zipcode变量未包含在单引号内，导致产生sql注入漏洞。 由于发生在update语句中，除了可以通过注入获取到管理员的帐号密码外，还可以修改任意会员的信息包括密码 ### 漏洞证明： 输入执行的sql语句如下： die('UPDATE ' . $db_table . ' SET ' . $db_set . ' WHERE ' . $db_where) [<img src="https://images.seebug.org/upload/201305/132145280829de8a16fca4815ba71452ea7ba4a7.jpg" alt="a.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/132145280829de8a16fca4815ba71452ea7ba4a7.jpg) [<img src="https://images.seebug.org/upload/201305/1321454650038905777e4f19d5d96897ccd6683c.jpg" alt="b.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201305/1321454650038905777e4f19d5d96897ccd6683c.jpg) 将管理员密码update到email信息中