Discuz 5.x 6.x 7.x 前台SQL注入漏洞

最新推荐文章于 2022-07-29 16:15:28 发布
最新推荐文章于 2022-07-29 16:15:28 发布
阅读量465 收藏
点赞数
文章标签: php
原文链接:http://www.cnblogs.com/yangxiaodi/p/6931748.html
版权
本文深入分析了Discuz! X2.5版本中存在的SQL注入漏洞,详细解释了漏洞产生的原因,涉及的代码路径以及利用方式。通过案例展示了如何在特定条件下触发漏洞,实现对数据库的非法访问。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

来源:http://wooyun.jozxing.cc/static/bugs/wooyun-2014-071516.html

漏洞出现在/include/editpost.inc.php。

			if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls)) {
				$pollarray = '';
				$pollarray['options'] = $polloption;
				if($pollarray['options']) {
					if(count($pollarray['options']) > $maxpolloptions) {
						showmessage('post_poll_option_toomany');
					}
					foreach($pollarray['options'] as $key => $value) {
						if(!trim($value)) {
							$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
							unset($pollarray['options'][$key]);
						}
					}

  

可以看到代码中有个foreach循序:foreach($pollarray['options'] as $key => $value)

接着看到下面的sql语句:$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");

把$key放在sql语句中进行查询,我们来看看dz的gpc过滤方法。

文件在/include/common.inc.php。如果开启gpc就用如下语句

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
	foreach($$_request as $_key => $_value) {
		$_key{0} != '_' && $$_key = daddslashes($_value);
	}

  

只对value的值过滤:daddslashes($_value),跟进函数,

function daddslashes($string, $force = 0) {
	!defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
	if(!MAGIC_QUOTES_GPC || $force) {
		if(is_array($string)) {
			foreach($string as $key => $val) {
				$string[$key] = daddslashes($val, $force);
			}
		} else {
			$string = addslashes($string);
		}
	}
	return $string;
}

  

只对value过滤了,如果没开启gpc也调用他。

这里还有个要注意的点:

foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
	foreach($$_request as $_key => $_value) {
		$_key{0} != '_' && $$_key = daddslashes($_value);
	}

  

对于这段代码,从cookie到post再到GET循环,从cookie开始的,php对于参数会解析新值覆盖旧值,也就是你POST过去一个参数,如果在GET参数中再次出现,那么就会选取GET的值,而覆盖掉POST的值

 

引用:

由于discuz7.2的过滤代码没对$key进行过滤,所以我们可以直接在$key中输入单引号,进而达到注入的目的。

在执行循环之前有一个条件 

if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls))
这里($alloweditpoll || $isorigauthor) $isorigauthor判断是不是你是作者 如果你编辑的是你的文章的话 肯定是true。 $polls 这个直接就可以控制。
$thread['special'] == 1 之前我一直在纠结这个是啥东西。。
后面看了看发文章的时候的代码 这个$thread['special'] == 1代表的就是发布的是投票。
那如果我们自己发布一个投票 然后再编辑 就可以进入这里了。

 

还有一个就是value的值要为空或者0,因为有个if判断

						if(!trim($value)) {
							$db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
							unset($pollarray['options'][$key]);
						}

  

最后只要在url中添加 poc:  polloption[' and updatexml(1,concat(0x7e,(select @@version),0x7e),1)#]=0

 

 

收获的地方就是,1.检查cms过滤时看有没有对key和value同时进行过滤。2.EGPCS 对于这些请求,解析的顺序是从左往右,数组也是,还有就是后解析的新值会覆盖旧值。

 

转载于:https://www.cnblogs.com/yangxiaodi/p/6931748.html

aixuan9365
关注
网络攻击和渗透中:注入信息无回显?(给盲注戴上眼镜)靶机实战利用Ecshop 2.x/3.x SQL注入/任意代码执行漏洞
代码讲故事
02-04 226
网络攻击和渗透中:注入信息无回显?(给盲注戴上眼镜)靶机实战利用Ecshop 2.x/3.x SQL注入/任意代码执行漏洞
2024HVV在即| 最新漏洞CVE库(1.5W)与历史漏洞POC总结分享!
最新发布
记录开发和安全学习过程中的点点滴滴
04-22 3275
也快到护网的时间了,每年的护网都是一场攻防实战的盛宴,那么漏洞库就是攻防红蓝双方人员的弹药库,红队人员可以通过工具进行监测是否存在历史漏洞方便快速打点,而蓝队则可以对资产进行梳理和监测历史漏洞,及时处理和修复,做好准备.
Discuz 5.x/6.x/7.x投票SQL注入分析
weixin_30642561的博客
08-22 114
看乌云有人爆了这个漏洞:http://www.wooyun.org/bugs/wooyun-2014-071516感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧 。问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致...
discuz my.php注入,Discuz! 7.2 插件/manyou/sources/notice.php sql注入漏洞
weixin_35044481的博客
03-26 194
在最新的discuz! 7.2中自带了一个新的应用程序插件manyou。恰恰在这个新插件中,没有对传入的参数进行检查,在GPC为off的情况下,导致注入漏洞的产生。/manyou/sources/notice.phpif($option == 'del') {$appid = intval($_GET['appid']);$db->query("DELETE FROM {$tablepre}...
Discuz 5.x/6.x/7.x投票SQL注入复现
KEY0NE的个人博客
06-28 184
问题代码:Discuz_6.1.0F_SC_UTF8includeeditpost.inc.php 288行$pollarray = ''; $pollarray['options'] = $polloption; if($pollarray['options']) { if(count($pollarray['options']) > $maxpo...
Discuz! 6.x/7.x 版本 前台任意代码执行漏洞
weixin_34119545的博客
01-03 345
一、漏洞原理: 由于php5.3.x版本里php.ini的设置里request_order默认值为GP,导致Discuz! 6.x/7.x 全局变量防御绕过漏洞。 include/global.func.php代码里: 01 function daddslashes($string, $force = 0) { ...
Discuz! 系列<=3.4 后台 sql注入漏洞
weixin_46801402的博客
07-29 5067
Discuz!X全版本存在SQL注入漏洞漏洞产生的原因是source\admincp\admincp_setting.php在处理$settingnew['uc']['appid']参数时未进行完全过滤,导致出现二次注入。在特定条件下,攻击者可以利用该漏洞获取服务器权限。...
Discuz x3.2前台GET型SQL注入漏洞(绕过全局WAF)
weixin_33882443的博客
08-10 4636
前台非盲注,只需要配合一个xss,就能消除鸡肋了。信pandas,得永生,紧抱doggy哥大腿!/source/include/misc/misc_stat.php 46行:if(!empty($_GET['xml'])){ $xaxis=''; $graph=array(); $count=1; $begin=dgmdate($beginunixstr,...
Discuz! X3.1论坛冲突解决指南与仿畅言打赏插件开发
- 插件的安全性考虑:在开发中考虑防止SQL注入、XSS攻击等安全问题,确保插件的稳定和安全运行。 在解决论坛与“自制仿畅言打赏插件”的冲突问题时,可以采取以下措施: 1. 全面测试:在论坛环境中全面测试插件...
DZ论坛网游发号插件v1.7X:安全、智能的个人卡箱功能
在Web开发中,对用户输入数据进行过滤是防止XSS(跨站脚本攻击)和SQL注入等安全漏洞的有效手段。插件在前台对输入数据进行过滤,减少了安全风险。 - **个人卡箱功能**: 个人卡箱是提供给用户的一种服务,用于...
discuz7.2sql注入漏洞
weixin_40709439的博客
09-20 8639
今天尝试了discuz7.2动力论坛的sql注入漏洞 原因是由faq.php文件源码存在漏洞引起的 下载官方discuz7.2源码,在本地搭建漏洞环境 http://www.comsenz.com/downloads/install/discuz 下载的三个文件 利用http://localhost:8088/discuz72/upload/install/index.php进行安装...
Discuz X 系列全版本 后台Sql注入漏洞
bulangman277的博客
12-28 3784
Discuz! X 系列全版本 后台Sql注入漏洞
漏洞复现-DiscuzX 系列全版本后台SQL注入漏洞
qq_59350385的博客
05-10 1902
目录 环境搭建 (1)源码下载: 漏洞检测 报错注入 写文件 漏洞分析 环境搭建 (1)源码下载: https://search.gitee.com/?skin=rec&type=repository&q=discuz git clonehttp://htts://gite.com/ComsenzDiscuzX.git 放置于web根目录,访问即可进入安装页面 (2)也可搭建vulhub靶场,启动discuz环境 漏洞检测 http://.....
PHP5DiscuzX安装指南
主宰
01-03 1019
目录 1 目标 2 安装环境 3 安装准备 4 安装 4.1 安装Apache2.4 4.2 配置 4.3 测试Apache2.4安装是否成功 4.4 安装PHP 4.5 安装PHP5.5 4.6 配置Apache2.4支持PHP5 4.7 php.ini位置 4.8 测试PHP安装是否成功 5 安装MySQL 6 安装MySQL Workbench 7 安装Disc
php discuzSQL注入_discuzphp防止sql注入函数
weixin_35020639的博客
03-08 163
最近在做一个主题投票网站,客户懂一些程序方面的东西。有特别要求需要过滤一些字符防止sql注入。本来这方面就没有特别的研究过。呵呵,又发扬了一回拿来主义。把discuz论坛的sql注入函数取了来!复制代码 代码如下:$magic_quotes_gpc = get_magic_quotes_gpc();@extract(daddslashes($_COOKIE));@extract(daddslas...
Discuz!X系列全版本后台sql注入复现
浅笑996的博客
06-28 3709
圈子某位大佬公布的0day,拿来刷一刷,漏洞分析请移步大佬文章。大佬链接 0x01 环境准备 1、首先去码云下载最新版本的discuzDiscuzX 3.4 R20191201)。 2、将upaod放置到网站目录下,访问安装目录安装即可。 0x02 漏洞复现 点击站长--UCenter设置 点击最下面的提交进行抓包 判断列数 1' order by 1 //返回正确 1' order by 2 //返回错误 查询当前用户 1' and updatexml(.
Discuz!7.2 SQL注入复现实验
Tranquillity
10-23 2465
0x01 实验准备 实验原理: 实验工具: UCenter Discuz 7.2安装包 实验环境: 安装 Discuz 网站的服务器(Windows) 安装 python 环境的攻击机 0x01 实验步骤 一、搭建环境 1. 安装UCenter 通过 http://192.168.88.129/dz7.2/upload/install/index.php 页面安装: 出现错误: 将UCenter文件放置在dz7.2文件夹下,访问http://192.168.88.129/dz7.2/UCente
discuz 7.2 SQL 注入漏洞分析
weixin_33860722的博客
01-28 651
2019独角兽企业重金招聘Python工程师标准>>> ...
7.2 discuz 拿shell_discuz 7.2 SQL 注入漏洞分析
weixin_39852647的博客
12-22 496
1、漏洞影响范围该漏洞影响discuz 7.2,discuz 7.2可以从http://www.comsenz.com/downloads/install/discuz下载2、漏洞成因分析漏洞存在于discuz根目录的faq.php文件,当程序使用$_GET,$_POST, $_COOKIES传入参数,faq.php,包含的./include/common.inc.php文件中会对这几个对象做处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值