码迷,mamicode.com
首页 > 数据库 > 详细

Discuz 5.x/6.x/7.x投票SQL注入分析

时间:2014-08-22 12:30:06      阅读:216      评论:0      收藏:0      [点我收藏+]

标签:discuz   http   os   io   strong   文件   for   ar   

看乌云有人爆了这个漏洞:http://www.wooyun.org/bugs/wooyun-2014-071516
感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧 。
问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

1
2
3
4
5
6
7
8
9
10
11
$pollarray[‘options‘] = $polloption;
if($pollarray[‘options‘]) {
if(count($pollarray[‘options‘]) > $maxpolloptions) {
showmessage(‘post_poll_option_toomany‘);
}
foreach($pollarray[‘options‘] as $key => $value) { //这里直接解析出来没处理$key
if(!trim($value)) {
$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid=‘$key‘ AND tid=‘$tid‘");
unset($pollarray[‘options‘][$key]);
}
}

利用方法:
用注册账户发布一个投票帖子,然后点击“编辑”,如下图

bubuko.com,布布扣

然后用burp拦截请求,点“编辑帖子”,修改其中的polloption为注入语句:

bubuko.com,布布扣

因为代码判断trim($value)为空才执行下面的语句,所以一定要把范冰冰删掉。

返回结果已经成功注入了:

bubuko.com,布布扣

修补方法:

如果不方便升级到Discuz X的话,可以修改editpost.inc.php文件,增加一行:

1
$key=addslashes($key);

Discuz 5.x/6.x/7.x投票SQL注入分析,布布扣,bubuko.com

Discuz 5.x/6.x/7.x投票SQL注入分析

标签:discuz   http   os   io   strong   文件   for   ar   

原文地址:http://www.cnblogs.com/security4399/p/3928964.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!