网上已经公布了这个漏洞的exp了！所以就看了一下phpwind的代码！
今天对简单的看了一下PHPwind的代码，漏洞主要是在pw_ajax里面,问题存在于该文件的2010行,变量fieldname在19多行的时候获取后判断不为空就直接进入了sql查询,但是与一般的注入不同的是,该变量在字段中,而不是where后,所以需要构造闭合一下,也就是字段名后要使用from,后面跟一个union select语句就好了!还有一个条件是action必须等于pcdelimg。当然这个需要我们登陆后才可而已。还有一个漏洞是需要跟这个漏洞配合的,那个漏洞我还没看.

…………省略N行代码

} elseif ($action == 'pcdelimg') {
InitGP(array('fieldname','pctype'));     //这里未过滤
InitGP(array('tid','id'),GP,2);
if (!$tid || !$id || !$fieldname || !$pctype) {
   echo 'fail';ajax_footer();
}
……………………省略N行 代码

$path = $db->get_value("SELECT $fieldname FROM $tablename WHERE tid=". pwEscape($tid));

//这里进行了sql的查询，产生注入

群里有位朋友说呢，这个不适于批量获取webshell，当然了公布的那个工具是不适合批量的获得，但是我们可以通过抓包分析，自动获得cookie的功能，批量获取webshell也是可以的。只不过这需要自己费一些时间去抓包，然后写代码！

注：我的phpwind的版本是7.5gbk的。我也是一个PHP初学者，欢迎各位一起交流！本人QQ；704622720（BaCde）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课