phpMyWind最新版本注入漏洞

### 简要描述： 在对phpmywind进行代码审计的时候发现一枚明显的注入漏洞，变量未经任何过滤直接带进数据库，虽然程序有sql注入的安全检测和过滤，但可以绕过限制，直接执行任意sql指令。 ### 详细说明： 漏洞位于order.php 372行处，如图： [<img src="https://images.seebug.org/upload/201402/1809473337cdee785a9a301529f91fde0bb697e4.png" alt="3.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/1809473337cdee785a9a301529f91fde0bb697e4.png) 利用分析：phpmywind采用了80sec的sql过滤函数，之前大牛已经提过可以用@`'`的方式进行绕过，由于漏洞所在sql语句的查询结果不会直接在order.php上显示，故使用报错注入的方式构造exp，如图： [<img src="https://images.seebug.org/upload/201402/18095512a999627c8e1c53ba44255bca2fd6381d.png" alt="1.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18095512a999627c8e1c53ba44255bca2fd6381d.png) 执行后查看源文件，发现注入成功： [<img src="https://images.seebug.org/upload/201402/18095557c0e8b991a7455ca71402ee0a5d0afc10.png" alt="3.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/18095557c0e8b991a7455ca71402ee0a5d0afc10.png) ### 漏洞证明： 漏洞证明如下： [<img src="https://images.seebug.org/upload/201402/1809562785e736fba5265856e416ae9a67944b87.png" alt="1.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/1809562785e736fba5265856e416ae9a67944b87.png) [<img src="https://images.seebug.org/upload/201402/1809564425494db76d86be29f09d992ea9241552.png" alt="2.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/1809564425494db76d86be29f09d992ea9241552.png) [<img src="https://images.seebug.org/upload/201402/1809565659d90e4ad26d802f76c2ac29d8e4f591.png" alt="3.PNG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201402/1809565659d90e4ad26d802f76c2ac29d8e4f591.png)