Z-Blog旗下DBS主机漏洞可获得客户域名账号密码

### 简要描述： Z-Blog旗下DBS主机漏洞存在严重的注入漏洞。客户得到所有的域名账号、密码。 ### 详细说明： 1、用的华众的系统，直接看图，查询代码是这样写的。 [<img src="https://images.seebug.org/upload/201402/08115436b0e63a48a5aa2849fd559301764c7736.jpg" alt="21.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/08115436b0e63a48a5aa2849fd559301764c7736.jpg) 2、嘎嘎，注册个会员【________te】搞定。决定是超另类的注入。登陆后，点击域名管理： 查询语句就变成了 u_fatstr like '%,________te,%' ### 漏洞证明： [<img src="https://images.seebug.org/upload/201402/081151500b19dd24300b14d264915cd3b36e0b93.jpg" alt="1113.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/081151500b19dd24300b14d264915cd3b36e0b93.jpg) [<img src="https://images.seebug.org/upload/201402/081151292620bcdfd6f5f07077094231b817abda.jpg" alt="1112.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/081151292620bcdfd6f5f07077094231b817abda.jpg)