### 简要描述:
Mao10CMS V3.1.0 SQL注入
### 详细说明:
Application\User\Controller\LostpassController.class.php 第13行
```
$page_id = M('meta')->where("meta_key='user_email' AND meta_value='".I('param.user_email')."' AND type='user'")->getField('page_id');
```
这里的I('param.user_email') 直接从GET插入,没有经过过滤。
把ThinkPHP执行的sql语句输出,输入单引号测试一下
[<img src="https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png" alt="q1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png)
测试payload
[<img src="https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png" alt="q2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png)
存在SQL注入
### 漏洞证明:
[<img src="https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png" alt="q1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png)
测试payload
[<img src="https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png" alt="q2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png)
暂无评论