WooYun.org

#1
自上次无意发现了商城一个注入之后，直觉告诉我肯定存在其他漏洞。今天终于有时间，便顺手测试了一下。
首先是找一找目标，随便用谷歌搜了一下：site:cgbchina.com.cn filetype:jsp
在返回结果中随便打开几个带id的连接测试一下。

看到链接https://shop.cgbchina.com.cn/CgbMall/jsp/brandQuery.jsp?gid=131&goods_price=中有个gid参数，用1=1尝试一下，结果返回，变量类型错误，看来没法注入了

Error 500: java.lang.NumberFormatException: For input string: "131 and 1=1"

正要随手关掉这个页面时，发现了一个有意思的地方。

输入价格0-300，查看网络请求，找到如下连接。

https://shop.cgbchina.com.cn/BusinessCityWeb/ecity.do?func=queryClassFun&dom=<request><queryClass currpage="1" rowspage="20" sorttype="0" brand="043" goods_price="0|300" goods_nm="" color="" type_pid="" type_id="" querytype="brandForColor"/></request>

测试发现goods_price参数可以注入。
#2
本来可以直接提交了，但是上一次提交只有16rank，不甘心。
那么继续吧，仔细看一下连接中，除了goods_price，还有好几个带值参数，经过测试发现，brand也是可以注入的，分析如下图

。
#3
这下可以提交乌云了，但是，wait。上一次注入是在积分商城，这一次注入是在分期购物。然而请求访问的文件是同一个，区别只是参数不一样，那么是不是只要找到其他的请求参数可以发现其他的注入点呢？其他的请求参数又应该到哪里去找?当然，如果是工具党，可以spider跑跑连接就出来了，很easy。但是，扫描器容易影响业务，毕竟是银行，还是手动找找吧。于是又回到google到的页面，发现了下面几个地方

沿着这个思路，点了一下广发团。发现没有之前的搜索功能。但是发现了其他有意思的东西，如下图，后来证明确实又找到一个可以注入的参数typeid。