WooYun.org

phpyun使用了360和一个自身的防护脚本
我们来看看过滤情况

这都是我们常用查询语句。出现这些语句就会结束，以及替换。
不过这里有个安全隐患就是

sy_safekey安装默认为7854**222ffdss 这样会导致POST无过滤。
好了我们继续。
===============================================
\wap\member\model\index.class.php：200：addresume_action函数

带入POST 表的一部分我们可控，这样我们能用0x来绕过防护脚本。继续看mysql数据操作
\model\class\action.class.php：521：update_once函数

先把表的列查出，没法进入流程，难道要放弃。
幸好底下可以进入insert_into
\model\class\action.class.php：492：insert_into函数

我们可以看到即使表没有查出，我们还是能进入插入操作。这样一来 我们就能插入resume_所有表的数据 我们使用0x更新来绕过防护脚本，造成2次注射。
==============================================
\member\user\model\likejob.class.php：12：index_action函数

我们看到多表连接 resume_expect和resume 其中resume_expect的job_classid刚好我们可控，底下继续带入查询。由于job_classid限制100字符且,且逗号分割所以只能盲住了。由于语句真假所有必须phpyun_company_job 有数据随便发一条即可。附上测试脚本