Mao10CMS V3.1.0 SQL注入

### 简要描述： Mao10CMS V3.1.0 SQL注入 ### 详细说明： Application\User\Controller\LostpassController.class.php 第13行 ``` $page_id = M('meta')->where("meta_key='user_email' AND meta_value='".I('param.user_email')."' AND type='user'")->getField('page_id'); ``` 这里的I('param.user_email') 直接从GET插入，没有经过过滤。 把ThinkPHP执行的sql语句输出，输入单引号测试一下 [<img src="https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png" alt="q1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png) 测试payload [<img src="https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png" alt="q2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png) 存在SQL注入 ### 漏洞证明： [<img src="https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png" alt="q1.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/21165730d6de49ddb17ebf8c99d17aa04369d66a.png) 测试payload [<img src="https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png" alt="q2.png" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201501/2116581431233228ccf72abcfd500bef4c49620d.png)