phpok最新版一处注入

### 简要描述： 最近没什么代码审计漏洞 给个前台呗 ### 详细说明： phpok最新版 20141119 [<img src="https://images.seebug.org/upload/201411/211306217ccf4055ff5337687460c9cc627bc470.jpg" alt="3.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/211306217ccf4055ff5337687460c9cc627bc470.jpg) 问题文件：/framework/model/data.php //还是老问题 //取得文章列表 public function arclist($rs) 第102-105行: ``` if($rs['user_id']) { $sql.= "AND l.user_id IN(".$rs['user_id'].") "; } ``` $rs['user_id'] 是直接进入查询的造成注入 现在就是找哪个地方应用了 function arclist()是从 function _arclist()过来的 找下_arclist() 找了下一共2个地方 一个不行 另一个就可以 /framework/www/project_control.php function load_module($rs,$parent_rs='') 该函数用到了_arclist() 选取几行重要代码 129-131行： $ext = $this->get("ext"); $tag = $this->get("tag"); $uid = $this->get('uid'); uid get进来 201-204行: if($uid) { $pageurl .= "uid=".$uid."&"; $dt['user_id'] = $uid; } $uid 赋给dt数组的user_Id 219行: $rslist = $this->call->phpok('_arclist',$dt); $dt函数 进入查询 再找找load_module函数的应用，还是在这个文件下/framework/www/project_control.php function index_f() 63-67行: if($rs["module"]) { $this->load_module($rs,$parent_rs); exit; } 找到准确位置 uid未过滤 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201411/211322252d37bfae27b87be3396c4943dafa8660.jpg" alt="1.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/211322252d37bfae27b87be3396c4943dafa8660.jpg) [<img src="https://images.seebug.org/upload/201411/211323129c66d3f29d40fb1e416a466979d82c6d.jpg" alt="2.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/211323129c66d3f29d40fb1e416a466979d82c6d.jpg) 而且可sqlmap噢 [<img src="https://images.seebug.org/upload/201411/21132444174e89d76b78a41196e2645f6dc814e2.jpg" alt="QQ图片20141121132402.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201411/21132444174e89d76b78a41196e2645f6dc814e2.jpg)