返回列表 发帖

[Discuz!相关] Discuz 5.x/6.x/7.x投票SQL注入分析+修复方法

感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧 。
  问题出在 editpost.inc.php的281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。
  1. $pollarray['options'] = $polloption;
  2. if($pollarray['options']) {
  3. if(count($pollarray['options']) > $maxpolloptions) {
  4. showmessage('post_poll_option_toomany');
  5. }
  6. foreach($pollarray['options'] as $key => $value) { //这里直接解析出来没处理$key
  7. if(!trim($value)) {
  8. $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
  9. unset($pollarray['options'][$key]);
  10. }
  11. }
复制代码
利用方法:
用注册账户发布一个投票帖子,然后点击“编辑”,如下图
01.png

02.png
因为代码判断trim($value)为空才执行下面的语句,所以一定要把范冰冰删掉。
返回结果已经成功注入了:
03.png
修补方法:
如果不方便升级到Discuz X的话,可以修改editpost.inc.php文件,增加一行:
  1. $key=addslashes($key);
复制代码
欢迎光临:逐梦论坛

TOP

首先说一下 这洞需要有权限发布投票才行 刚注册的会员是不能发布投票的
我看了下默认发布投票需要的权限 需要从注册会员开始才有发布投票的权限



看了一下注册会员所需要的积分是50分
50分 上传个头像 做个任务就差不多了(所以狗哥 这不算限制条件把?)
_________________________________________________________________________
在post.php中
从263行开始 也就是最后的那几行

  1. if($action == 'newthread') {
  2.         ($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
  3.         require_once DISCUZ_ROOT.'./include/newthread.inc.php';
  4. } elseif($action == 'reply') {
  5.         ($forum['allowreply'] == -1) && showmessage('forum_access_disallow');
  6.         require_once DISCUZ_ROOT.'./include/newreply.inc.php';
  7. } elseif($action == 'edit') {
  8.         ($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
  9.         require_once DISCUZ_ROOT.'./include/editpost.inc.php';
  10. } elseif($action == 'newtrade') {
  11.         ($forum['allowpost'] == -1) && showmessage('forum_access_disallow');
  12.         require_once DISCUZ_ROOT.'./include/newtrade.inc.php';
  13. }
复制代码



包含了这么多文件进来 我找了这个文件看了起来include/editpost.inc.php
然后在include/editpost.inc.php 第272行左右

  1. if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls)) {
  2.                                 $pollarray = '';
  3.                                 $pollarray['options'] = $polloption;
  4.                                 if($pollarray['options']) {
  5.                                         if(count($pollarray['options']) > $maxpolloptions) {
  6.                                                 showmessage('post_poll_option_toomany');
  7.                                         }
  8.                                         foreach($pollarray['options'] as $key => $value) {
  9.                                                 if(!trim($value)) {
  10.                                                         $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
  11.                                                         unset($pollarray['options'][$key]);
  12.                                                 }
  13.                                         }
  14.                                         $polladd = ', special=\'1\'';
复制代码



foreach($pollarray['options'] as $key => $value) {

这里直接把数组中的key带入到了delete查询当中。

再来看一下dz的全局文件

  1. foreach(array('_COOKIE', '_POST', '_GET') as $_request) {
  2.         foreach($_request as $_key => $_value) {
  3.                 $_key{0} != '_' && $_key = daddslashes($_value);
  4.         }
  5. }
  6. code 区域function daddslashes($string, $force = 0) {
  7.         !defined('MAGIC_QUOTES_GPC') && define('MAGIC_QUOTES_GPC', get_magic_quotes_gpc());
  8.         if(!MAGIC_QUOTES_GPC || $force) {
  9.                 if(is_array($string)) {
  10.                         foreach($string as $key => $val) {
  11.                                 $string[$key] = daddslashes($val, $force);
  12.                         }
  13.                 } else {
  14.                         $string = addslashes($string);
  15.                 }
  16.         }
  17.         return $string;
  18. }
复制代码



这里先判断了gpc是否开启 如果没有开启 就用addslashes再来转义

这里对数组中的value进行转义 key无过滤。

  1. $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'
复制代码



所以再进行这个查询的时候 我们就可以引入单引号了。
_______________________________________________________________
在执行循环之前有一个条件

if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls))

这里($alloweditpoll || $isorigauthor) $isorigauthor判断是不是你是作者 如果你编辑的是你的文章的话 肯定是true。 $polls 这个直接就可以控制。

$thread['special'] == 1 之前我一直在纠结这个是啥东西。。

后面看了看发文章的时候的代码 这个$thread['special'] == 1代表的就是发布的是投票。

那如果我们自己发布一个投票 然后再编辑 就可以进入这里了。



首先发布一个投票。 发布完后 再点击编辑。
然后再抓一下包。
这里我输出了一下

  1. $polladd = '';
  2.                         if($thread['special'] == 1 && ($alloweditpoll || $isorigauthor) && !empty($polls)) {
  3.                                 $pollarray = '';
  4.                                
  5.                                 $pollarray['options'] = $polloption;
  6.                         var_dump ($polloption);exit;//输出
复制代码



我擦 一看竟然已经有值了?

在这里我本来已经准备放弃了, 但是还是抱着试一试的态度 在url写了这个



发现还是可以控制 而且单引号 理所应当的没有被转义。

那不是就可以注入了吗? 构造一下语句。

  1. if(!trim($value)) {
  2.                                                         $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");
复制代码



因为这里 数组中的value为false的时候才会进去
所以这里数组的value我们就不写



成功出数据。

漏洞证明:



修复方案:

foreach($pollarray['options'] as $key => $value) {

  $key=addslashes($key);

  if(!trim($value)) {

  $db->query("DELETE FROM {$tablepre}polloptions WHERE polloptionid='$key' AND tid='$tid'");

? 还是看你们把。

欢迎光临:逐梦论坛

TOP

返回列表

Powered by Discuz! 7.2   论坛QQ群:逐梦论坛群

© 2001-2021 Comsenz Inc. 鲁公网安备 37120302000001号