Discuz <= 7.2 SQL未公开注入漏洞

据说是某数字公司的应急给发布出来了.群里面的小伙伴都惊呆了
具体的漏洞分析看
http://www.80vul.com/webzine_0x06/PSTZine_0x06_0x03.txt
其中的
在《高级PHP应用程序漏洞审核技术》[1]一文里的”魔术引号带来的新的安全问题”一节里,有
提到通过提取魔术引号产生的“\”字符带来的安全问题,同样这个问题在这里又一次完美体
现,如下面的代码片段:

 

上面的代码原本期望得到一个经过daddslashes()安全处理后的数组变量$xigr[‘hi’],但是没
有对变量$xigr做严格的类型规定,当我们提交一个字符串变量$xigr=’ryat,经过上面的处理
变为\’ryat,到最后$xigr[‘hi’]就会输出\,如果这个变量引入到SQL语句,那么就会引起严重
的安全问题了,再来看下面的代码片段:

 

利用上面提到的思路,通过提交foo.php?xigr[]=’&xigr[][uid]=evilcode这样的构造形式可
以很容易的突破GPC或类似的安全处理,形成SQL注射漏洞:D

测试漏洞存在的语句
exp:

 

dz
确认管理的语句

 
dz1
最终爆出账号+密码+salt的语句

 
dz2

 

附上getshell exp:

 

原文链接:,转发请注明来源!

发表评论

要发表评论,您必须先登录