WooYun.org

首先缘起是在国外某知名搜索引擎上的一条搜索结果：

标题一对乱七八糟的东西，点进去看发现这样的东西：
发布人：gzekt_liud
然后随便试了一下后台，居然就是admin，然后随便猜了一下密码，居然是123456。此时此刻我十分服气。
后台过滤的还挺严格的，各种地方的上传几本都没戏，于是看了看注入，一开始什么没挖到，后来看到这个部分：

这下面的几个链接基本都是有注入的：
http://www.gzekt.com/admin/bsPaytype_updateBeforeBusiSupPaytype.action?busicode=100001&paytype=12&businame=%253C%253E
http://www.gzekt.com/admin/bsPaytype_queryBusiSupPaytypeAll.action?busicode=100001&businame=%E5%A4%87%E4%BB%98%E9%87%91%E5%85%85%E5%80%BC
参数都是busicode，看到乌云上有前辈爆过前台的这个参数注入，看来是没修复完善啊。后面几个全都是搜索类型的注入，直接扔sqlmap。