WooYun.org

1.漏洞点
网站后台 /admin/up_db.php 可执行任意SQL语句，并未加CSRF防护，
以官网后台Demo http://cn.mall-builder.com/admin/ 为例，管理员admin:admin登陆后，
向http://cn.mall-builder.com/admin/up_db.php
POST如下数据，即可执行drop table mallbuilder_feed

{sql:'drop table mallbuilder_feed',action:'submit'}

2.利用
为了放大利用，除了引诱管理员访问指定页面外，还可利用该系统本身存在的XSS漏洞，
以官网前台Demo http://democn.mall-builder.com/为例，

用户注册后，访问http://democn.mall-builder.com/main.php?m=member&s=admin_member修改个人资料，其中，头像下方的<input>未经过滤，可插入XSS payload，配合jquery
比如，

x" onerror="$.post('/admin/up_db.php',{sql:'drop table mallbuilder_feed',action:'submit'})

提交，
当管理员访问含有该用户头像的所有页面时，便会触发XSS->CSRF->SQL执行，这些页面包括：
http://democn.mall-builder.com/home.php?uid=537
http://democn.mall-builder.com/main.php?action=main
评论
来访者
……
等等