[代码审计]Discuz 5.x 6.x 7.x 前台SQL注入漏洞分析

Posted by

漏洞细节:

http://www.wooyun.org/bugs/wooyun-2014-071516

标题是“Discuz 5.x 6.x
7.x
前台SQL注入漏洞一枚”,感觉应该是editpost.inc.php里投票的漏洞。因为dz已经确定不会再修补7.x以前的漏洞了,所以直接贴细节吧

         问题出在
editpost.inc.php
281行,对用户提交的polloption数组直接解析出来带入SQL语句,因为默认只对数组值过滤,而不过滤键,所以会导致一个DELETE注入。

$pollarray[‘options’] = $polloption;

if($pollarray[‘options’]) {

if(count($pollarray[‘options’]) >
$maxpolloptions) {

showmessage(‘post_poll_option_toomany’);

}

foreach($pollarray[‘options’] as $key =>
$value) { //
这里直接解析出来没处理$key

if(!trim($value)) {

$db->query(“DELETE FROM
{$tablepre}polloptions WHERE polloptionid=’$key’ AND tid=’$tid'”);

unset($pollarray[‘options’][$key]);

}

}

 

利用方法:

用注册账户发布一个投票帖子,然后点击“编辑”,如下图

























修补方法:

如果不方便升级到Discuz X的话,可以修改editpost.inc.php文件,增加一行:

$key=addslashes($key);

 

总结:

         挖漏洞其实很考验平时的积累,不过还是那句话,寻找程序员的疏忽是首要切入点。只有在碰到过滤、逻辑、算法的时候才需要绕过技巧。

         溯源是代码审计中很重要的一个技能,最后加上一点点运气成分就OK了。

         顺便纪念一下昨晚(2014.08.20)在管理的服务器上怀旧代码的时候,发现了cc牛版本的OJ系统存在一个SQL注入,也是大意疏忽,一个字符串输入过滤错误(XSS过滤对SQL注入不起作用),外加使用了字符串拼接带入SQL查询(仅一处拼接),最终造成了漏洞。

Leave a Reply

电子邮件地址不会被公开。 必填项已用*标注